Réentrance

Une réentrance dans le chemin withdraw du Rebalancer Clober sur Base a permis de réentrer avant la fixation comptable LP, drainant 500 K$.

~27 M$ drainés de Penpie : une faille de réentrance dans le plugin Pendle a permis d'enregistrer un marché malveillant et retirer des récompenses peggées.

Astroport sur Terra a perdu 6,4 M$ via une réentrance d'IBC hooks corrigée en avril puis réintroduite en juin. ASTRO a chuté de 60 %.

Un attaquant a exploité une réentrance en lecture seule sur les rate providers des Boosted Pools Balancer après divulgation, drainant ~2,1 M$.

EraLend sur zkSync Era a perdu 3,4 M$ via une réentrance en lecture seule : l'attaquant a manipulé le prix oracle USDC pendant un callback SyncSwap.

L'Omnipool ETH de Conic avait des gardes mais supposait que Curve v2 utilisait une adresse ETH spécifique. Un CurveLPOracleV2 l'a contourné, drainant 3,2 M$.

800 K$ drainés de Sturdy Finance via une réentrance lecture-seule Balancer qui a mal valorisé la collatéral LP B-stETH-STABLE. Fonds rendus après négociation.

Une réentrance en lecture seule Curve sur remove_liquidity a drainé 3,65 M$ du pool wstETH/ETH de dForce. Un white hat a restitué tous les fonds.

3 M$ drainés d'Orion sur Ethereum/BSC : doSwapThroughOrionPool acceptait des chemins non validés sans garde de réentrance ; un faux jeton a inflé les soldes.

Midas Capital sur Polygon a perdu 660 K$ via réentrance en lecture seule Curve mal valorisant une garantie LP jBRL/BRZ pour emprunt à valeur gonflée.

Une réentrance sur exitMarket() a drainé 80 M$ des pools Fuse de Rari Capital, fonction que l'équipe avait oublié de protéger lors d'un patch.

Voltage Finance a perdu 4 M$ sur Fuse : le hook transferAndCall des ERC-677 a permis une réentrance dans borrow avant que la dette ne soit enregistrée.

2 M$ drainés de Revest Finance via une réentrance dans mintAddressLock/depositAdditionalToFNFT permettant de créer des NFT surévalués puis de les racheter.

Un exploit conjoint de réentrance a drainé ~11 M$ sur Agave et Hundred Finance via le callback de transfert ERC-677 du wETH/wXDAI sur Gnosis Chain.

~1,7 M$ drainés de Paraluni sur BNB Chain : la fonction de dépôt acceptait un jeton non validé sans garde, permettant à un faux jeton de réintroduire.

Le contrat de staking Visor Finance a perdu 8,2 M$ à une réentrance dans delegateTransferERC20. VISR a chuté de 95 % ; Visor a migré vers un nouveau jeton.

Les vaults Grim Finance sur Fantom ont perdu 30 M$ via une réentrance en 5 boucles dans depositFor. La TVL est passée de 98,9 M$ à 4,2 M$.

18,8 M$ drainés des marchés de prêt Cream v1 via un bug de réentrance dans le hook de transfert ERC-777 du token AMP — second des trois exploits 2021 de Cream.

BurgerSwap sur BNB Chain ne validait pas les tokens du swap-path : un callback de faux token a réentré le pool en plein swap et drainé 7,2 M$ de réserves.

2 600 ETH (10 M$, 60% du pool) drainés de Rari : son intégration ibETH d'Alpha Finance permettait des appels externes arbitraires activant la réentrance.

7,7 M$ drainés du coffre stablecoin OUSD deux mois après le lancement via un bug de réentrance par faux stablecoin introduit par un refactor d'économie de gaz.

Un faux ERC-20 avec un transferFrom réentrant a permis de réentrer le dépôt d'Akropolis et de frapper 2 M$ de parts de pool sans livrer de collatéral réel.

The DAO a perdu 3,6M ETH (50 M$) à un bug de réentrance classique, le vol qui a divisé Ethereum en ETH et Ethereum Classic et réécrit le dev Solidity.