Attaques Bug de smart contract sur Ethereum

Le vault BRO de Solv a perdu 2,73 M$ : un bug double-mint ERC-3525 a transformé 135 BRO en ~567M BRO en 22 dépôts, puis échangés contre 38 SolvBTC.

SagaEVM a perdu 7 M$ en 11 minutes quand un bug Ethermint a permis à des messages forgés de contourner la validation, créant des Saga Dollar (D) sans garantie.

Truebit a perdu 26,4 M$ : un overflow d'entier dans un contrat bonding curve de 5 ans a laissé l'attaquant minter TRU presque gratis et revendre pour 8 500 ETH.

Une mise à jour d'oracle a créé un décalage 18-vs-8 décimales dans les anciens vaults Ribbon DOV d'Aevo, drainant 2,7 M$. Aevo a fermé les vaults peu après.

USPD, stablecoin décentralisé récent, a perdu ~1 M$ via une faille mint/collatéral qui a permis de minter sans backing suffisant, dépeguant brièvement le jeton.

Le pool StableSwap yETH de Yearn a minté 235 septillions de yETH depuis 16 wei : un retrait avait remis l'offre à zéro mais laissé les soldes virtuels en cache.

Un défaut de contrôle d'accès et une erreur d'arrondi dans l'invariant de Balancer v2 ont drainé ~120 M$, plus grand exploit DeFi de 2025.

Une erreur d'arrondi dans la fonction withdraw de Bunni DEX a drainé 8,4 M$ sur Ethereum et Unichain. Le protocole a fermé.

9,8 M$ drainés de Resupply en moins de 90 minutes quand un prêt flash de 4 000 $ a exploité un coffre wstUSR de 2 heures via une attaque par donation ERC-4626.

Un attaquant a drainé 12 M$ (3 761 wstETH) de Cork Protocol en créant un marché référençant le DS d'un autre, via un hook Uniswap v4 malveillant.

Une faille du garde-overflow dans le plus grand DEX de Sui a permis d'injecter une position de liquidité minuscule lue comme gigantesque, drainant 223 M$.

355 K$ (toute la TVL) drainés du protocole SIR.trading via un mauvais usage du stockage transitoire qui a usurpé le check d'appelant uniswapV3SwapCallback.

Un bug d'un ancien resolver Fusion v1 a permis à un attaquant de forger des calldata pour drainer 5 M$ des TrustedVolumes 1inch. Protocole et fonds intacts.

The Idols NFT a perdu ~324 K$ : une faille comptable de récompenses de staking a permis à un attaquant de réclamer des récompenses bien au-delà du dû.

11,6 M$ drainés d'utilisateurs ayant accordé des approvals infinies à LI.FI ; une facette fraîchement déployée sautait une validation clé.

Une faille dans le contrat opérateur de Holograph a permis de minter 1 Md de tokens HLG, 14,4 M$ nominal. HLG a chuté de 80 % en neuf heures.

1,9 M$ drainés de Pike Finance : des contrats modifiables non initialisés ont permis à un attaquant de prendre la propriété et drainer les actifs CCIP.

Le vesting Hedgey Finance a perdu 44,7 M$ : une validation manquante a permis de créer des campagnes dont le claimLockup approuvait des transferts arbitraires.

2,1 M$ drainés de l'agrégateur DEX Unizen via une vulnérabilité d'appel externe non sécurisé dans une mise à niveau récente touchant les utilisateurs approuvés.

6,4 M$ drainés via approbations illimitées au contrat Chamber de Seneca, sans fonction pause. L'attaquant a rendu 80 % contre une prime de 20 %.

3,3 M$ drainés à des utilisateurs de l'agrégateur Socket/Bungee via une route SocketGateway non validée, qui appelait transferFrom sur les wallets approuvés.

54,7 M$ drainés de KyberSwap Elastic après qu'une erreur d'arrondi en liquidité concentrée a trompé les pools en reconnaissant le double de liquidité.

3,3 M$ du stablecoin R créés via un bug d'arrondi/mint de parts dans Raft, mais l'attaquant a raté l'encaissement, brûlant ~1 570 ETH. R s'est dépeggé.

640 K$ drainés aux utilisateurs Unibot via un bug d'approbation dans le nouveau contrat routeur du bot Telegram. Unibot a remboursé les utilisateurs affectés.

Le troisième incident de DEUS DAO a drainé 6,5 M$ sur BNB, Arbitrum et Ethereum via une faille dans la logique burnFrom/approval de DEI.

Un contrat iEarn Yearn legacy mal configuré pointant vers le mauvais jeton Fulcrum a minté 1,2Q yUSDT et drainé 11 M$ d'Aave v1 sans alerter personne.

Un contrôle d'accès manquant dans RouteProcessor2 de Sushi a laissé les bots drainer 3,3 M$ en WETH aux utilisateurs avec approbations, avant le sauvetage.

Un health check manquant sur donateToReserves d'Euler a permis de créer une position auto-liquidable et de partir avec 197 M$ — majoritairement rendus.

Les utilisateurs de Dexible ont perdu 2 M$ après que selfSwap a effectué des appels externes arbitraires avec des données fournies par l'utilisateur.

Team Finance a perdu 15,8 M$ lors d'une migration Uniswap v2→v3 : jetons verrouillés vers paire v3 biaisée puis remboursés comme 'reste' pour 2 700 $ de gaz.

2,3 M$ drainés du StaxLPStaking de TempleDAO : migrateStake() ne validait pas l'appelant, laissant quiconque migrer la position entière d'un autre staker.

Les utilisateurs de Transit Swap avec approbations infinies ont perdu 21 M$ : claimTokens ne validait pas quel jeton appeler en transferFrom. 70 % rendus.

Le metapool sUSDv2 de Saddle a perdu 11,9 M$ : un bug connu de MetaSwapUtils a été redéployé par erreur ; les bots BlockSec ont sauvé 3,97 M$.

Une faille de comptabilité de récompenses chez Bent Finance a permis à une adresse de réclamer ~1,7 M$ bien au-delà de son droit avant la pause.

31 M$ drainés des pools mono-jeton de MonoX après que l'attaquant a échangé un jeton avec lui-même, gonflant MONO dans l'oracle propre jusqu'à vider les pools.

Un bug de la Proposition 62 de Compound a versé jusqu'à 147 M$ de récompenses COMP non intentionnelles. La majorité fut rendue ; une partie conservée.

Une fonction init() non protégée dans les contrats de vesting de DAO Maker a permis la prise de contrôle et un emergencyExit, drainant 4 M$.

Un bug de contrat cross-chain a permis à un attaquant d'échanger la clé publique du keeper et retirer 611 M$ de trois chaînes — restitués en totalité.

9 M$ drainés de Punk Protocol minutes après le lancement via delegatecall à Initialize fixant l'attaquant comme forge ; 5 M$ récupérés par white-hats.

Un bug de déploiement a créé des vaults Alchemix fantômes dirigeant 6,5 M$ de récompenses vers le remboursement des dettes utilisateurs. Mint gelé en 15 min.

Les Crowdpools V2 de DODO ont perdu 3,8 M$ après que l'attaquant a rappelé init() avec un faux token ; des bots MEV en ont front-run environ 1,9 M$.

Les utilisateurs de Furucombo ont perdu 14 M$ après que l'attaquant a trompé le proxy pour delegatecaller une fausse implémentation Aave v2.

Saddle Finance a perdu ~276 K$ dans l'heure suivant son lancement quand un stableswap défaillant a laissé des arbitragistes échanger à des taux mal tarifés.

Un bug storage/memory dans le Blacksmith de Cover a minté 40 quintillions de COVER, le prix chutant de 700 $ à moins de 5 $. Tous les fonds rendus.

19,76 M$ DAI drainés de Pickle Finance après que l'attaquant a créé deux faux contrats « Jar » et exploité une vérification manquante dans swapExactJarForJar.

Deux incidents en quatre mois : une faille initWallet publique a drainé 30 M$, puis un utilisateur a détruit la bibliothèque, gelant 150 M$+ sur 151 multi-sigs.