Attaques Attaque par flash loan sur Ethereum

4,13 M$ extraits du pool Curve DUSD/USDC de Makina via manipulation d'oracle par prêt flash ; négociation white-hat a récupéré 89% en une semaine.

Zunami Protocol a perdu ~500 K$ dans un second incident, 2 ans après son exploit Curve 2023, à nouveau via tarification manipulable dans sa stratégie.

11 M$ drainés de l'assistant de migration Trove de Prisma : l'attaquant a contourné migrate() et appelé flashloan() directement, exigeant des excuses.

Un bug d'arrondi dans la comptabilité des Cauldrons d'Abracadabra a permis de drainer 6,5 M$ (2 740 ETH + 2,2 M MIM) en remboursant les dettes d'autrui.

2,1 M$ drainés de Zunami Protocol après que ses prix zETH et UZD, dérivés de pools Curve manipulables, ont été gonflés par un attaquant flash-loan.

Un prêt flash de 1 Md$ a acheté 67 % de la gouvernance Beanstalk en un bloc, faisant passer une proposition drainant le trésor. 76 M$ nets, 182 M$ perdus.

Une manipulation de prix yUSD par prêt flash a permis d'emprunter contre 1 Md$ de faux collatéral et drainer 130 M$ de Cream, son troisième exploit de 2021.

16 M$ drainés des pools index DEFI5 et CC10 via un exploit flash-loan ; l'attaquant ado a monté une défense « code is law » au Canada.

20,7 M$ drainés du pool Sorbetto Fragola de Popsicle : prêts flash et transferts de parts ont trompé le contrat lui faisant devoir des récompenses = TVL.

xToken a perdu 24 M$ : xSNXa et xBNTa tarifés depuis des pools manipulables ; un flash loan a laissé l'attaquant mint à bas prix et racheter le sous-jacent.

Une manipulation flash-loan du pricing gToken/stkToken de Growth DeFi a permis d'extraire ~1,3 M$ de réserves à taux déséquilibrés (« The Big Combo »).

Un contrat « spell » a exploité un arrondi de parts d'emprunt pour accumuler zéro part contre une dette cySUSD, drainant 37,5 M$ d'Alpha Homora / Iron Bank.

Le coffre yDAI de Yearn a perdu 11 M$ (gain net 2,8 M$) : une séquence flash-loan de 11 tx a biaisé le prix DAI du Curve 3pool. Tether a gelé 1,7 M$.

Warp Finance a perdu 7,8 M$ en valorisant la collatéral LP Uniswap depuis des réserves spot manipulables ; un flash loan a gonflé la valeur LP.

Le coffre MultiStables de Value DeFi a perdu 7 M$ via une manipulation flash-loan du prix du Curve 3pool — cas canonique précoce du pattern.

Trente boucles de manipulation du Curve YPool financées par un prêt flash de 50 M$ USDC ont extrait 24 M$ de Harvest Finance ; bank run de 570 M$.

Eminence d'Andre Cronje, non publié, a perdu 15 M$ via un exploit de bonding curve par prêt flash quelques heures après un teaser. 8 M$ ont été restitués.

La première attaque par prêt flash connue a drainé ~954 K$ de bZx deux fois en quatre jours, via des prêts Aave manipulant les oracles Uniswap.