Drain du protocole de confidentialité Hinkal
Un attaquant a drainé environ 820 000 dollars en USDC de Hinkal — presque toute sa TVL multi-chaînes — via des dépôts 'proofless' non vérifiés, puis les a blanchis via Tornado Cash et THORChain.
Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.
Un attaquant a drainé environ 820 000 dollars en USDC de Hinkal — presque toute sa TVL multi-chaînes — via des dépôts 'proofless' non vérifiés, puis les a blanchis via Tornado Cash et THORChain.
Un attaquant a drainé environ 2,16 M$ du Private Rollup Bridge obsolète d'Aztec via un escapeHatch non protégé et des données de preuve falsifiées — deuxième hack d'Aztec en une semaine.
Un bug d'arrondi dans un vault Thetanuts obsolète a permis de frapper des tokens d'option gratuitement et de drainer environ 2,1 M$ sur Ethereum ; les white-hats ont récupéré près de 2 M$.
Un attaquant a drainé environ 2,1 M$ du pont obsolète Aztec Connect en exploitant une validation de preuve incomplète pour retirer des soldes non couverts de contrats immuables.
Une faille de contrôle d'accès (confused deputy) dans le module tiers SquidRouterModule a permis de drainer ~3,8 M$ de 88 portefeuilles Gnosis Safe sur Ethereum, Base et Arbitrum.
L'agrégateur cross-chain Transit Finance a perdu ~1,88 M$ en DAI le 13 mai 2026 — un second incident à plusieurs millions après la brèche d'approbation proxy d'octobre 2022.
Le vault BRO de Solv a perdu 2,73 M$ : un bug double-mint ERC-3525 a transformé 135 BRO en ~567M BRO en 22 dépôts, puis échangés contre 38 SolvBTC.
SagaEVM a perdu 7 M$ en 11 minutes quand un bug Ethermint a permis à des messages forgés de contourner la validation, créant des Saga Dollar (D) sans garantie.
Truebit a perdu 26,4 M$ : un overflow d'entier dans un contrat bonding curve de 5 ans a laissé l'attaquant minter TRU presque gratis et revendre pour 8 500 ETH.
Une mise à jour d'oracle a créé un décalage 18-vs-8 décimales dans les anciens vaults Ribbon DOV d'Aevo, drainant 2,7 M$. Aevo a fermé les vaults peu après.
USPD, stablecoin décentralisé récent, a perdu ~1 M$ via une faille mint/collatéral qui a permis de minter sans backing suffisant, dépeguant brièvement le jeton.
Le pool StableSwap yETH de Yearn a minté 235 septillions de yETH depuis 16 wei : un retrait avait remis l'offre à zéro mais laissé les soldes virtuels en cache.
Un défaut de contrôle d'accès et une erreur d'arrondi dans l'invariant de Balancer v2 ont drainé ~120 M$, plus grand exploit DeFi de 2025.
Une erreur d'arrondi dans la fonction withdraw de Bunni DEX a drainé 8,4 M$ sur Ethereum et Unichain. Le protocole a fermé.
9,8 M$ drainés de Resupply en moins de 90 minutes quand un prêt flash de 4 000 $ a exploité un coffre wstUSR de 2 heures via une attaque par donation ERC-4626.
Un attaquant a drainé 12 M$ (3 761 wstETH) de Cork Protocol en créant un marché référençant le DS d'un autre, via un hook Uniswap v4 malveillant.
Une faille du garde-overflow dans le plus grand DEX de Sui a permis d'injecter une position de liquidité minuscule lue comme gigantesque, drainant 223 M$.
355 K$ (toute la TVL) drainés du protocole SIR.trading via un mauvais usage du stockage transitoire qui a usurpé le check d'appelant uniswapV3SwapCallback.
Un bug d'un ancien resolver Fusion v1 a permis à un attaquant de forger des calldata pour drainer 5 M$ des TrustedVolumes 1inch. Protocole et fonds intacts.
The Idols NFT a perdu ~324 K$ : une faille comptable de récompenses de staking a permis à un attaquant de réclamer des récompenses bien au-delà du dû.
11,6 M$ drainés d'utilisateurs ayant accordé des approvals infinies à LI.FI ; une facette fraîchement déployée sautait une validation clé.
Une faille dans le contrat opérateur de Holograph a permis de minter 1 Md de tokens HLG, 14,4 M$ nominal. HLG a chuté de 80 % en neuf heures.
1,9 M$ drainés de Pike Finance : des contrats modifiables non initialisés ont permis à un attaquant de prendre la propriété et drainer les actifs CCIP.
Le vesting Hedgey Finance a perdu 44,7 M$ : une validation manquante a permis de créer des campagnes dont le claimLockup approuvait des transferts arbitraires.
2,1 M$ drainés de l'agrégateur DEX Unizen via une vulnérabilité d'appel externe non sécurisé dans une mise à niveau récente touchant les utilisateurs approuvés.
6,4 M$ drainés via approbations illimitées au contrat Chamber de Seneca, sans fonction pause. L'attaquant a rendu 80 % contre une prime de 20 %.
3,3 M$ drainés à des utilisateurs de l'agrégateur Socket/Bungee via une route SocketGateway non validée, qui appelait transferFrom sur les wallets approuvés.
54,7 M$ drainés de KyberSwap Elastic après qu'une erreur d'arrondi en liquidité concentrée a trompé les pools en reconnaissant le double de liquidité.
3,3 M$ du stablecoin R créés via un bug d'arrondi/mint de parts dans Raft, mais l'attaquant a raté l'encaissement, brûlant ~1 570 ETH. R s'est dépeggé.
640 K$ drainés aux utilisateurs Unibot via un bug d'approbation dans le nouveau contrat routeur du bot Telegram. Unibot a remboursé les utilisateurs affectés.
Le troisième incident de DEUS DAO a drainé 6,5 M$ sur BNB, Arbitrum et Ethereum via une faille dans la logique burnFrom/approval de DEI.
Un contrat iEarn Yearn legacy mal configuré pointant vers le mauvais jeton Fulcrum a minté 1,2Q yUSDT et drainé 11 M$ d'Aave v1 sans alerter personne.
Un contrôle d'accès manquant dans RouteProcessor2 de Sushi a laissé les bots drainer 3,3 M$ en WETH aux utilisateurs avec approbations, avant le sauvetage.
Un health check manquant sur donateToReserves d'Euler a permis de créer une position auto-liquidable et de partir avec 197 M$ — majoritairement rendus.
Les utilisateurs de Dexible ont perdu 2 M$ après que selfSwap a effectué des appels externes arbitraires avec des données fournies par l'utilisateur.
Team Finance a perdu 15,8 M$ lors d'une migration Uniswap v2→v3 : jetons verrouillés vers paire v3 biaisée puis remboursés comme 'reste' pour 2 700 $ de gaz.
2,3 M$ drainés du StaxLPStaking de TempleDAO : migrateStake() ne validait pas l'appelant, laissant quiconque migrer la position entière d'un autre staker.
Les utilisateurs de Transit Swap avec approbations infinies ont perdu 21 M$ : claimTokens ne validait pas quel jeton appeler en transferFrom. 70 % rendus.
Le metapool sUSDv2 de Saddle a perdu 11,9 M$ : un bug connu de MetaSwapUtils a été redéployé par erreur ; les bots BlockSec ont sauvé 3,97 M$.
Une faille de comptabilité de récompenses chez Bent Finance a permis à une adresse de réclamer ~1,7 M$ bien au-delà de son droit avant la pause.
31 M$ drainés des pools mono-jeton de MonoX après que l'attaquant a échangé un jeton avec lui-même, gonflant MONO dans l'oracle propre jusqu'à vider les pools.
Un bug de la Proposition 62 de Compound a versé jusqu'à 147 M$ de récompenses COMP non intentionnelles. La majorité fut rendue ; une partie conservée.
Une fonction init() non protégée dans les contrats de vesting de DAO Maker a permis la prise de contrôle et un emergencyExit, drainant 4 M$.
Un bug de contrat cross-chain a permis à un attaquant d'échanger la clé publique du keeper et retirer 611 M$ de trois chaînes — restitués en totalité.
9 M$ drainés de Punk Protocol minutes après le lancement via delegatecall à Initialize fixant l'attaquant comme forge ; 5 M$ récupérés par white-hats.
Un bug de déploiement a créé des vaults Alchemix fantômes dirigeant 6,5 M$ de récompenses vers le remboursement des dettes utilisateurs. Mint gelé en 15 min.
Les Crowdpools V2 de DODO ont perdu 3,8 M$ après que l'attaquant a rappelé init() avec un faux token ; des bots MEV en ont front-run environ 1,9 M$.
Les utilisateurs de Furucombo ont perdu 14 M$ après que l'attaquant a trompé le proxy pour delegatecaller une fausse implémentation Aave v2.
Saddle Finance a perdu ~276 K$ dans l'heure suivant son lancement quand un stableswap défaillant a laissé des arbitragistes échanger à des taux mal tarifés.
Un bug storage/memory dans le Blacksmith de Cover a minté 40 quintillions de COVER, le prix chutant de 700 $ à moins de 5 $. Tous les fonds rendus.
19,76 M$ DAI drainés de Pickle Finance après que l'attaquant a créé deux faux contrats « Jar » et exploité une vérification manquante dans swapExactJarForJar.
Deux incidents en quatre mois : une faille initWallet publique a drainé 30 M$, puis un utilisateur a détruit la bibliothèque, gelant 150 M$+ sur 151 multi-sigs.