Drain du protocole de confidentialité Hinkal
Un attaquant a drainé environ 820 000 dollars en USDC de Hinkal — presque toute sa TVL multi-chaînes — via des dépôts 'proofless' non vérifiés, puis les a blanchis via Tornado Cash et THORChain.
Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.
Un attaquant a drainé environ 820 000 dollars en USDC de Hinkal — presque toute sa TVL multi-chaînes — via des dépôts 'proofless' non vérifiés, puis les a blanchis via Tornado Cash et THORChain.
Un attaquant via flash loan a gonflé ~78x le taux de change interne du wGOOGLx sur Edel Finance, empruntant contre une garantie fictive et laissant ~403 000 dollars de créance douteuse.
Une faille de contrôle d'accès (confused deputy) dans le module tiers SquidRouterModule a permis de drainer ~3,8 M$ de 88 portefeuilles Gnosis Safe sur Ethereum, Base et Arbitrum.
~10,8 M$ drainés des coffres Asgard de THORChain sur 9 chaînes via une faille présumée GG20 (TSS) exploitée par un opérateur de nœud malveillant.
Les coffres perp de Wasabi sur Ethereum, Base, Berachain et Blast ont perdu 5 M$ : un EOA deployer compromis avec ADMIN_ROLE unique a permis des upgrades UUPS.
1 Md de DOT bridgés mintés sur Hyperbridge après une vérification de bornes manquante dans VerifyProof ; perte réalisée ~2,5 M$.
~1,78 M$ drainés de Moonwell sur Base : un marché nouvellement listé utilisait un flux de prix avec incohérence de décimales, mal valorisant la garantie.
Une compromission de hot wallet sur 7 chaînes a drainé 48 M$ chez BtcTurk, deuxième hack majeur en 14 mois. Le cold storage est resté intact.
7,5 M$ extraits des perps KiloEX sur Base, opBNB et BSC : le MinimalForwarder sautait les vérifs de signature ; positions à 100 $ / 10 000 $.
Une réentrance dans le chemin withdraw du Rebalancer Clober sur Base a permis de réentrer avant la fixation comptable LP, drainant 500 K$.
Grand Base, un projet RWA sur Base, a perdu 2 M$ après compromission/abus de la clé deployer ; l'attaquant a minté du GB illimité et drainé le pool.
54,7 M$ drainés de KyberSwap Elastic après qu'une erreur d'arrondi en liquidité concentrée a trompé les pools en reconnaissant le double de liquidité.
869 K$ drainés de RocketSwap sur Base : une brèche serveur a livré les clés privées chiffrées et la logique de déchiffrement du script d'automatisation.
Le développeur du memecoin BALD a retiré la liquidité du testnet Base de Coinbase, empochant 5,9 M$ de profit dev contre 23 M$ de pertes investisseurs.