Bug de smart contract

Rhea Finance sur NEAR a perdu 18,4 M$ après une préparation de deux jours avec faux jetons, 423 wallets et 8 pools Ref exploitant une faille de slippage.

Le vault BRO de Solv a perdu 2,73 M$ : un bug double-mint ERC-3525 a transformé 135 BRO en ~567M BRO en 22 dépôts, puis échangés contre 38 SolvBTC.

SagaEVM a perdu 7 M$ en 11 minutes quand un bug Ethermint a permis à des messages forgés de contourner la validation, créant des Saga Dollar (D) sans garantie.

TMXTribe, un protocole de staking, a perdu ~1,4 M$ : une faille comptable de distribution a laissé un attaquant sur-réclamer à répétition, vidant la réserve.

Truebit a perdu 26,4 M$ : un overflow d'entier dans un contrat bonding curve de 5 ans a laissé l'attaquant minter TRU presque gratis et revendre pour 8 500 ETH.

Une mise à jour d'oracle a créé un décalage 18-vs-8 décimales dans les anciens vaults Ribbon DOV d'Aevo, drainant 2,7 M$. Aevo a fermé les vaults peu après.

USPD, stablecoin décentralisé récent, a perdu ~1 M$ via une faille mint/collatéral qui a permis de minter sans backing suffisant, dépeguant brièvement le jeton.

Le pool StableSwap yETH de Yearn a minté 235 septillions de yETH depuis 16 wei : un retrait avait remis l'offre à zéro mais laissé les soldes virtuels en cache.

Un défaut de contrôle d'accès et une erreur d'arrondi dans l'invariant de Balancer v2 ont drainé ~120 M$, plus grand exploit DeFi de 2025.

Une erreur d'arrondi dans la fonction withdraw de Bunni DEX a drainé 8,4 M$ sur Ethereum et Unichain. Le protocole a fermé.

Odin.fun, une launchpad memecoin Bitcoin, a perdu ~7 M$ quand des attaquants ont manipulé la comptabilité de liquidité de la courbe pour drainer les pools BTC.

Une faille de distribution frais/récompenses a permis d'extraire à répétition de la valeur des pools BetterBank sur PulseChain, drainant 5 M$.

Une faille du mint de tokens de crédit de Credix sur BNB Chain a permis de minter et racheter contre des positions fabriquées, drainant 4,5 M$.

Une faille proche d'une réentrance dans le pricing GLP de GMX v1 a permis de drainer ~42 M$, restitués en quelques jours contre un bounty white-hat.

9,8 M$ drainés de Resupply en moins de 90 minutes quand un prêt flash de 4 000 $ a exploité un coffre wstUSR de 2 heures via une attaque par donation ERC-4626.

Une faille de vérification d'auto-listing a drainé 8,37 M$ (jusqu'à 16,2 M$ avec les tokens ALEX) d'ALEX Protocol sur Stacks, second incident majeur en 13 mois.

Un attaquant a drainé 12 M$ (3 761 wstETH) de Cork Protocol en créant un marché référençant le DS d'un autre, via un hook Uniswap v4 malveillant.

Une faille du garde-overflow dans le plus grand DEX de Sui a permis d'injecter une position de liquidité minuscule lue comme gigantesque, drainant 223 M$.

2,15 M$ drainés de MobiusDAO sur BNB Chain après un double scaling 10^18 créant 9,73 quadrillions de MBU à partir de 0,01 BNB ; blanchi via Tornado Cash.

355 K$ (toute la TVL) drainés du protocole SIR.trading via un mauvais usage du stockage transitoire qui a usurpé le check d'appelant uniswapV3SwapCallback.

Un attaquant a drainé 13 M$ (6 260 ETH) des Cauldrons GM d'Abracadabra via un dépôt GMX en échec, une auto-liquidation et un réemprunt du collatéral orphelin.

Un bug d'un ancien resolver Fusion v1 a permis à un attaquant de forger des calldata pour drainer 5 M$ des TrustedVolumes 1inch. Protocole et fonds intacts.

ZeroLend a perdu ~371 K$ : une attaque classique d'inflation de parts par donation sur un marché fraîchement listé qui manquait d'un dépôt initial protecteur.

9,5 M$ drainés de zkLend sur Starknet via un bug d'arrondi dans sa lib safeMath ; des arrondis répétés ont gonflé raw_balance jusqu'à vider les pools.

The Idols NFT a perdu ~324 K$ : une faille comptable de récompenses de staking a permis à un attaquant de réclamer des récompenses bien au-delà du dû.

11,6 M$ drainés d'utilisateurs ayant accordé des approvals infinies à LI.FI ; une facette fraîchement déployée sautait une validation clé.

Une faille dans le contrat opérateur de Holograph a permis de minter 1 Md de tokens HLG, 14,4 M$ nominal. HLG a chuté de 80 % en neuf heures.

Les pools CPMM de Velocore sur zkSync et Linea ont perdu 6,8 M$ : un overflow du multiplicateur de frais a permis de minter une énorme offre LP via un retrait.

Sonne Finance a perdu 20 M$ sur Optimism via une 'donation attack', exploit connu des forks Compound v2 visant l'écart entre déploiement et amorçage.

1,9 M$ drainés de Pike Finance : des contrats modifiables non initialisés ont permis à un attaquant de prendre la propriété et drainer les actifs CCIP.

Le vesting Hedgey Finance a perdu 44,7 M$ : une validation manquante a permis de créer des campagnes dont le claimLockup approuvait des transferts arbitraires.

4,8 M$ drainés de Super Sushi Samurai sur Blast : un bug de transfert doublait le solde lors d'un self-transfer. Un white-hat avait vu le bug en premier.

2,1 M$ drainés de l'agrégateur DEX Unizen via une vulnérabilité d'appel externe non sécurisé dans une mise à niveau récente touchant les utilisateurs approuvés.

6,4 M$ drainés via approbations illimitées au contrat Chamber de Seneca, sans fonction pause. L'attaquant a rendu 80 % contre une prime de 20 %.

3,3 M$ drainés à des utilisateurs de l'agrégateur Socket/Bungee via une route SocketGateway non validée, qui appelait transferFrom sur les wallets approuvés.

54,7 M$ drainés de KyberSwap Elastic après qu'une erreur d'arrondi en liquidité concentrée a trompé les pools en reconnaissant le double de liquidité.

3,3 M$ du stablecoin R créés via un bug d'arrondi/mint de parts dans Raft, mais l'attaquant a raté l'encaissement, brûlant ~1 570 ETH. R s'est dépeggé.

640 K$ drainés aux utilisateurs Unibot via un bug d'approbation dans le nouveau contrat routeur du bot Telegram. Unibot a remboursé les utilisateurs affectés.

~2,2 M$ drainés de Platypus Finance dans une grappe d'exploits d'octobre frappant le stableswap Avalanche via une logique de solvabilité/retrait défaillante.

2,9 M$ drainés de Stars Arena, une app SocialFi style friend.tech sur Avalanche, via une faille de logique prix-de-part/retrait, au pic du buzz SocialFi.

L'attaquant a passé un faux marché et un permit forgé au DebtManager d'Exactly sur Optimism ; leverage() ne validait rien, drainant 7,3 M$ sur 117 comptes.

Le troisième incident de DEUS DAO a drainé 6,5 M$ sur BNB, Arbitrum et Ethereum via une faille dans la logique burnFrom/approval de DEI.

Level Finance sur BNB Chain a perdu 1,1 M$ : LevelReferralControllerV2 payait sans marquer l'epoch claimed, permettant des claims répétés.

Hundred Finance sur Optimism a perdu 7 M$ : un bug de précision dans le fork Compound v2 a permis à un minuscule hWBTC de drainer le pool.

Un contrat iEarn Yearn legacy mal configuré pointant vers le mauvais jeton Fulcrum a minté 1,2Q yUSDT et drainé 11 M$ d'Aave v1 sans alerter personne.

Un contrôle d'accès manquant dans RouteProcessor2 de Sushi a laissé les bots drainer 3,3 M$ en WETH aux utilisateurs avec approbations, avant le sauvetage.

SafeMoon a perdu 8,9 M$ de son pool WBNB après qu'une mise à niveau a laissé burn() public, permettant de brûler les SFM des autres et drainer WBNB.

Un health check manquant sur donateToReserves d'Euler a permis de créer une position auto-liquidable et de partir avec 197 M$ — majoritairement rendus.

Les pools de Hedera Hashgraph ont perdu ~515 K$ via un bug du décompileur Smart Contract Service ; Hedera a mis en pause le réseau.

Les utilisateurs de Dexible ont perdu 2 M$ après que selfSwap a effectué des appels externes arbitraires avec des données fournies par l'utilisateur.

3,2 M$ drainés sur NEAR via une faille comptable du trésor permettant à l'attaquant de réclamer SKYWARD à répétition sur le même solde.

Team Finance a perdu 15,8 M$ lors d'une migration Uniswap v2→v3 : jetons verrouillés vers paire v3 biaisée puis remboursés comme 'reste' pour 2 700 $ de gaz.

2,3 M$ drainés du StaxLPStaking de TempleDAO : migrateStake() ne validait pas l'appelant, laissant quiconque migrer la position entière d'un autre staker.

Les utilisateurs de Transit Swap avec approbations infinies ont perdu 21 M$ : claimTokens ne validait pas quel jeton appeler en transferFrom. 70 % rendus.

Un faux tick account a contourné la vérification d'owner de Crema et récolté des frais fictifs via la comptabilité CLMM, drainant 9,6 M$ sur Solana.

Gym Network sur BNB Chain a perdu 2,1 M$ : une fonction de dépôt acceptait une signature de référent sans la valider, mintant d'énormes récompenses.

Le metapool sUSDv2 de Saddle a perdu 11,9 M$ : un bug connu de MetaSwapUtils a été redéployé par erreur ; les bots BlockSec ont sauvé 3,97 M$.

Deux vérifications de collatéral manquantes ont permis de frapper 2 Md de faux stablecoins CASH sur Cashio, la TVL chutant de 48 M$ à zéro en une transaction.

~1,4 M$ de NFT volés sur TreasureDAO : la fonction buy ne vérifiait pas que la quantité produisait un prix non nul, autorisant des achats gratuits.

8,7 M$ drainés de Superfluid : un 'context' malveillant passé à son contrat host a permis à l'attaquant d'usurper l'appelant et exécuter des streams privés.

~3 M$ drainés de Tinyman, AMM principal d'Algorand, via une faille de logique swap/burn dans les opérations sur jetons de pool, sur de nombreux pools.

Une faille de comptabilité de récompenses chez Bent Finance a permis à une adresse de réclamer ~1,7 M$ bien au-delà de son droit avant la pause.

31 M$ drainés des pools mono-jeton de MonoX après que l'attaquant a échangé un jeton avec lui-même, gonflant MONO dans l'oracle propre jusqu'à vider les pools.

90 M$ drainés de Mirror Protocol sur Terra via déverrouillages d'ID dupliqués ; la perte est restée inaperçue sept mois jusqu'à l'effondrement de Terra.

Un bug de la Proposition 62 de Compound a versé jusqu'à 147 M$ de récompenses COMP non intentionnelles. La majorité fut rendue ; une partie conservée.

Une fonction init() non protégée dans les contrats de vesting de DAO Maker a permis la prise de contrôle et un emergencyExit, drainant 4 M$.

Un bug de contrat cross-chain a permis à un attaquant d'échanger la clé publique du keeper et retirer 611 M$ de trois chaînes — restitués en totalité.

9 M$ drainés de Punk Protocol minutes après le lancement via delegatecall à Initialize fixant l'attaquant comme forge ; 5 M$ récupérés par white-hats.

~248 K$ drainés de SafeDollar sur Polygon via une faille de calcul de récompense qui a vidé les réserves SDO/USDC et brisé le peg du stablecoin algorithmique.

Une faille dans le chemin emergencyBurn/withdraw du vault nerveBUSD d'Eleven Finance a permis des retraits sans burn des shares, drainant ~4,5 M$ sur BNB Chain.

~3,7 M$ drainés d'Impossible Finance sur BNB Chain via une faille de swap-router permettant des swaps répétés contre des réserves obsolètes en une tx.

Un bug de déploiement a créé des vaults Alchemix fantômes dirigeant 6,5 M$ de récompenses vers le remboursement des dettes utilisateurs. Mint gelé en 15 min.

57,2 M$ extraits d'Uranium Finance via une constante mal placée dans la migration v2.1 (1 000 000 vs 10 000), permettant à 1 wei d'échanger 98 % des pools.

Les Crowdpools V2 de DODO ont perdu 3,8 M$ après que l'attaquant a rappelé init() avec un faux token ; des bots MEV en ont front-run environ 1,9 M$.

Les utilisateurs de Furucombo ont perdu 14 M$ après que l'attaquant a trompé le proxy pour delegatecaller une fausse implémentation Aave v2.

Saddle Finance a perdu ~276 K$ dans l'heure suivant son lancement quand un stableswap défaillant a laissé des arbitragistes échanger à des taux mal tarifés.

Un bug storage/memory dans le Blacksmith de Cover a minté 40 quintillions de COVER, le prix chutant de 700 $ à moins de 5 $. Tous les fonds rendus.

19,76 M$ DAI drainés de Pickle Finance après que l'attaquant a créé deux faux contrats « Jar » et exploité une vérification manquante dans swapExactJarForJar.

Deux incidents en quatre mois : une faille initWallet publique a drainé 30 M$, puis un utilisateur a détruit la bibliothèque, gelant 150 M$+ sur 151 multi-sigs.