Drain du protocole de confidentialité Hinkal
Un attaquant a drainé environ 820 000 dollars en USDC de Hinkal — presque toute sa TVL multi-chaînes — via des dépôts 'proofless' non vérifiés, puis les a blanchis via Tornado Cash et THORChain.
Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.
Un attaquant a drainé environ 820 000 dollars en USDC de Hinkal — presque toute sa TVL multi-chaînes — via des dépôts 'proofless' non vérifiés, puis les a blanchis via Tornado Cash et THORChain.
Une faille de contrôle d'accès (confused deputy) dans le module tiers SquidRouterModule a permis de drainer ~3,8 M$ de 88 portefeuilles Gnosis Safe sur Ethereum, Base et Arbitrum.
Une faille proche d'une réentrance dans le pricing GLP de GMX v1 a permis de drainer ~42 M$, restitués en quelques jours contre un bounty white-hat.
Un attaquant a drainé 13 M$ (6 260 ETH) des Cauldrons GM d'Abracadabra via un dépôt GMX en échec, une auto-liquidation et un réemprunt du collatéral orphelin.
11,6 M$ drainés d'utilisateurs ayant accordé des approvals infinies à LI.FI ; une facette fraîchement déployée sautait une validation clé.
1,9 M$ drainés de Pike Finance : des contrats modifiables non initialisés ont permis à un attaquant de prendre la propriété et drainer les actifs CCIP.
Le vesting Hedgey Finance a perdu 44,7 M$ : une validation manquante a permis de créer des campagnes dont le claimLockup approuvait des transferts arbitraires.
6,4 M$ drainés via approbations illimitées au contrat Chamber de Seneca, sans fonction pause. L'attaquant a rendu 80 % contre une prime de 20 %.
54,7 M$ drainés de KyberSwap Elastic après qu'une erreur d'arrondi en liquidité concentrée a trompé les pools en reconnaissant le double de liquidité.
Le troisième incident de DEUS DAO a drainé 6,5 M$ sur BNB, Arbitrum et Ethereum via une faille dans la logique burnFrom/approval de DEI.
Un contrôle d'accès manquant dans RouteProcessor2 de Sushi a laissé les bots drainer 3,3 M$ en WETH aux utilisateurs avec approbations, avant le sauvetage.
Les utilisateurs de Dexible ont perdu 2 M$ après que selfSwap a effectué des appels externes arbitraires avec des données fournies par l'utilisateur.
~1,4 M$ de NFT volés sur TreasureDAO : la fonction buy ne vérifiait pas que la quantité produisait un prix non nul, autorisant des achats gratuits.