Attaques Réentrance sur Ethereum

~27 M$ drainés de Penpie : une faille de réentrance dans le plugin Pendle a permis d'enregistrer un marché malveillant et retirer des récompenses peggées.

Un attaquant a exploité une réentrance en lecture seule sur les rate providers des Boosted Pools Balancer après divulgation, drainant ~2,1 M$.

L'Omnipool ETH de Conic avait des gardes mais supposait que Curve v2 utilisait une adresse ETH spécifique. Un CurveLPOracleV2 l'a contourné, drainant 3,2 M$.

800 K$ drainés de Sturdy Finance via une réentrance lecture-seule Balancer qui a mal valorisé la collatéral LP B-stETH-STABLE. Fonds rendus après négociation.

3 M$ drainés d'Orion sur Ethereum/BSC : doSwapThroughOrionPool acceptait des chemins non validés sans garde de réentrance ; un faux jeton a inflé les soldes.

Une réentrance sur exitMarket() a drainé 80 M$ des pools Fuse de Rari Capital, fonction que l'équipe avait oublié de protéger lors d'un patch.

2 M$ drainés de Revest Finance via une réentrance dans mintAddressLock/depositAdditionalToFNFT permettant de créer des NFT surévalués puis de les racheter.

Le contrat de staking Visor Finance a perdu 8,2 M$ à une réentrance dans delegateTransferERC20. VISR a chuté de 95 % ; Visor a migré vers un nouveau jeton.

18,8 M$ drainés des marchés de prêt Cream v1 via un bug de réentrance dans le hook de transfert ERC-777 du token AMP — second des trois exploits 2021 de Cream.

2 600 ETH (10 M$, 60% du pool) drainés de Rari : son intégration ibETH d'Alpha Finance permettait des appels externes arbitraires activant la réentrance.

7,7 M$ drainés du coffre stablecoin OUSD deux mois après le lancement via un bug de réentrance par faux stablecoin introduit par un refactor d'économie de gaz.

Un faux ERC-20 avec un transferFrom réentrant a permis de réentrer le dépôt d'Akropolis et de frapper 2 M$ de parts de pool sans livrer de collatéral réel.

The DAO a perdu 3,6M ETH (50 M$) à un bug de réentrance classique, le vol qui a divisé Ethereum en ETH et Ethereum Classic et réécrit le dev Solidity.