Arbitrum — hacks & exploits

1 Md de DOT bridgés mintés sur Hyperbridge après une vérification de bornes manquante dans VerifyProof ; perte réalisée ~2,5 M$.

UXLINK, un protocole Web3 social, a perdu environ 41 M$ après que les attaquants ont compromis les clés multi-sig et exploité un delegatecall non restreint.

Une compromission de hot wallet sur 7 chaînes a drainé 48 M$ chez BtcTurk, deuxième hack majeur en 14 mois. Le cold storage est resté intact.

Une faille proche d'une réentrance dans le pricing GLP de GMX v1 a permis de drainer ~42 M$, restitués en quelques jours contre un bounty white-hat.

Un attaquant a drainé 13 M$ (6 260 ETH) des Cauldrons GM d'Abracadabra via un dépôt GMX en échec, une auto-liquidation et un réemprunt du collatéral orphelin.

Moby Trade, protocole d'options Arbitrum, a perdu ~1 M$ après compromission d'une clé privilégiée utilisée pour truquer le règlement. SEAL a limité les dégâts.

53 M$ drainés du multi-sig 3-de-11 de Radiant : un malware macOS a frappé trois signataires ; l'UI Safe affichait des tx propres pendant la signature.

DeltaPrime a perdu 6 M$ sur Arbitrum après l'extraction d'une clé unique ; l'équipe utilisait un multi-sig sur Avalanche. ZachXBT a relié à Lazarus.

11,6 M$ drainés d'utilisateurs ayant accordé des approvals infinies à LI.FI ; une facette fraîchement déployée sautait une validation clé.

1,9 M$ drainés de Pike Finance : des contrats modifiables non initialisés ont permis à un attaquant de prendre la propriété et drainer les actifs CCIP.

Le vesting Hedgey Finance a perdu 44,7 M$ : une validation manquante a permis de créer des campagnes dont le claimLockup approuvait des transferts arbitraires.

WOOFi Swap sur Arbitrum a perdu 8,75 M$ : l'oracle Chainlink de WOO n'était pas configuré, donc le sPMM acceptait tout prix manipulé poussé par l'attaquant.

6,4 M$ drainés via approbations illimitées au contrat Chamber de Seneca, sans fonction pause. L'attaquant a rendu 80 % contre une prime de 20 %.

Orange Finance sur Arbitrum a perdu ~844 K$ après compromission de sa clé admin, utilisée pour altérer les stratégies et retirer les positions Uniswap v3.

Gamma Strategies sur Arbitrum a perdu 6,1 M$ : une faible vérification de prix a permis un dépôt à ratio déséquilibré et un retrait disproportionné.

54,7 M$ drainés de KyberSwap Elastic après qu'une erreur d'arrondi en liquidité concentrée a trompé les pools en reconnaissant le double de liquidité.

1,14 M$ drainés de Steadefi sur Arbitrum et Avalanche après compromission de la clé deployer, permettant à l'attaquant de saisir les coffres à effet de levier.

7,5 M$ extraits de Jimbo's Protocol sur Arbitrum : un échec de slippage dans JimboController.shift() a permis un drainage par prêt flash.

3 M$ rug-pullés de Swaprum sur Arbitrum, un fork d'Arbiswap dont les contrats audités cachaient un proxy upgradeable avec une fonction backdoor add().

Le troisième incident de DEUS DAO a drainé 6,5 M$ sur BNB, Arbitrum et Ethereum via une faille dans la logique burnFrom/approval de DEI.

Un contrôle d'accès manquant dans RouteProcessor2 de Sushi a laissé les bots drainer 3,3 M$ en WETH aux utilisateurs avec approbations, avant le sauvetage.

Hope Finance a perdu 1,86 M$ au lancement Arbitrum : le contrat déployé différait de celui audité ; les fonds sont allés directement à Tornado Cash.

Les utilisateurs de Dexible ont perdu 2 M$ après que selfSwap a effectué des appels externes arbitraires avec des données fournies par l'utilisateur.

Une réentrance en lecture seule Curve sur remove_liquidity a drainé 3,65 M$ du pool wstETH/ETH de dForce. Un white hat a restitué tous les fonds.

Lodestar sur Arbitrum a perdu 6,5 M$ : son oracle plvGLP ignorait donate() gonflant les actifs GLP, permettant l'emprunt contre 83 % de collatéral inflaté.

Lodestar sur Arbitrum a perdu 6,5 M$ après manipulation de l'oracle plvGLP, lisant l'état du pool GLP, pour gonfler la garantie et vider les réserves.

~1,4 M$ de NFT volés sur TreasureDAO : la fonction buy ne vérifiait pas que la quantité produisait un prix non nul, autorisant des achats gratuits.

Arbix Finance, audité par Certik, a frappé 10 M d'ARBX vers des adresses d'attaquants, drainé 10 M$ de dépôts et effacé toute sa présence web et sociale.