Attaques Bug de smart contract sur Arbitrum

Une faille proche d'une réentrance dans le pricing GLP de GMX v1 a permis de drainer ~42 M$, restitués en quelques jours contre un bounty white-hat.

Un attaquant a drainé 13 M$ (6 260 ETH) des Cauldrons GM d'Abracadabra via un dépôt GMX en échec, une auto-liquidation et un réemprunt du collatéral orphelin.

11,6 M$ drainés d'utilisateurs ayant accordé des approvals infinies à LI.FI ; une facette fraîchement déployée sautait une validation clé.

1,9 M$ drainés de Pike Finance : des contrats modifiables non initialisés ont permis à un attaquant de prendre la propriété et drainer les actifs CCIP.

Le vesting Hedgey Finance a perdu 44,7 M$ : une validation manquante a permis de créer des campagnes dont le claimLockup approuvait des transferts arbitraires.

6,4 M$ drainés via approbations illimitées au contrat Chamber de Seneca, sans fonction pause. L'attaquant a rendu 80 % contre une prime de 20 %.

54,7 M$ drainés de KyberSwap Elastic après qu'une erreur d'arrondi en liquidité concentrée a trompé les pools en reconnaissant le double de liquidité.

Le troisième incident de DEUS DAO a drainé 6,5 M$ sur BNB, Arbitrum et Ethereum via une faille dans la logique burnFrom/approval de DEI.

Un contrôle d'accès manquant dans RouteProcessor2 de Sushi a laissé les bots drainer 3,3 M$ en WETH aux utilisateurs avec approbations, avant le sauvetage.

Les utilisateurs de Dexible ont perdu 2 M$ après que selfSwap a effectué des appels externes arbitraires avec des données fournies par l'utilisateur.

~1,4 M$ de NFT volés sur TreasureDAO : la fonction buy ne vérifiait pas que la quantité produisait un prix non nul, autorisant des achats gratuits.