Attaques Bug de smart contract sur BNB Chain

TMXTribe, un protocole de staking, a perdu ~1,4 M$ : une faille comptable de distribution a laissé un attaquant sur-réclamer à répétition, vidant la réserve.

Une faille du mint de tokens de crédit de Credix sur BNB Chain a permis de minter et racheter contre des positions fabriquées, drainant 4,5 M$.

2,15 M$ drainés de MobiusDAO sur BNB Chain après un double scaling 10^18 créant 9,73 quadrillions de MBU à partir de 0,01 BNB ; blanchi via Tornado Cash.

Le troisième incident de DEUS DAO a drainé 6,5 M$ sur BNB, Arbitrum et Ethereum via une faille dans la logique burnFrom/approval de DEI.

Level Finance sur BNB Chain a perdu 1,1 M$ : LevelReferralControllerV2 payait sans marquer l'epoch claimed, permettant des claims répétés.

SafeMoon a perdu 8,9 M$ de son pool WBNB après qu'une mise à niveau a laissé burn() public, permettant de brûler les SFM des autres et drainer WBNB.

Les utilisateurs de Transit Swap avec approbations infinies ont perdu 21 M$ : claimTokens ne validait pas quel jeton appeler en transferFrom. 70 % rendus.

Gym Network sur BNB Chain a perdu 2,1 M$ : une fonction de dépôt acceptait une signature de référent sans la valider, mintant d'énormes récompenses.

Un bug de contrat cross-chain a permis à un attaquant d'échanger la clé publique du keeper et retirer 611 M$ de trois chaînes — restitués en totalité.

Une faille dans le chemin emergencyBurn/withdraw du vault nerveBUSD d'Eleven Finance a permis des retraits sans burn des shares, drainant ~4,5 M$ sur BNB Chain.

~3,7 M$ drainés d'Impossible Finance sur BNB Chain via une faille de swap-router permettant des swaps répétés contre des réserves obsolètes en une tx.

57,2 M$ extraits d'Uranium Finance via une constante mal placée dans la migration v2.1 (1 000 000 vs 10 000), permettant à 1 wei d'échanger 98 % des pools.

Les Crowdpools V2 de DODO ont perdu 3,8 M$ après que l'attaquant a rappelé init() avec un faux token ; des bots MEV en ont front-run environ 1,9 M$.