Avalanche — hacks & exploits

Une compromission de hot wallet sur 7 chaînes a drainé 48 M$ chez BtcTurk, deuxième hack majeur en 14 mois. Le cold storage est resté intact.

Une compromission multi-chaînes de style RPDC a balayé 52 M$ des hot wallets BingX sur Ethereum, BNB Chain, Avalanche, Optimism et Polygon.

~55 M$ drainés des hot wallets BtcTurk, Binance gelant environ 5,3 M$ des fonds volés en vol — la plus grande compromission d'échange turc à ce jour.

~2,2 M$ drainés de Platypus Finance dans une grappe d'exploits d'octobre frappant le stableswap Avalanche via une logique de solvabilité/retrait défaillante.

2,9 M$ drainés de Stars Arena, une app SocialFi style friend.tech sur Avalanche, via une faille de logique prix-de-part/retrait, au pic du buzz SocialFi.

1,14 M$ drainés de Steadefi sur Arbitrum et Avalanche après compromission de la clé deployer, permettant à l'attaquant de saisir les coffres à effet de levier.

8,5 M$ drainés de Platypus sur Avalanche via un exploit de prêt flash d'emergencyWithdraw(), permettant aux attaquants de retirer la garantie pré-remboursement.

Une compromission de clé owner a ajouté un faux collatéral à Defrost sur Avalanche, liquidant les positions pour ~12 M$. Fonds majoritairement rendus.

Une mise à niveau de routine a marqué le hash zéro comme racine valide, transformant chaque message Nomad en un retrait que n'importe qui pouvait copier-coller.

Le memecoin Avalanche SDOG a perdu 18 M$ à des initiés qui connaissaient la 'challengeKey' nécessaire pour trader sur son DEX, vidant le rachat avant le retail.

Vee Finance sur Avalanche a perdu 35 M$ une semaine après le lancement : une manipulation Pangolin a contourné le slippage via un bug de décimales pré-signalé.