Bitcoin — hacks & exploits

Le vault BRO de Solv a perdu 2,73 M$ : un bug double-mint ERC-3525 a transformé 135 BRO en ~567M BRO en 22 dépôts, puis échangés contre 38 SolvBTC.

SBI Crypto, filiale minière de SBI Holdings, a perdu 24 M$ en BTC, ETH, LTC, DOGE et BCH. Non détecté pendant 7 jours, signalé par ZachXBT (motif Lazarus).

Odin.fun, une launchpad memecoin Bitcoin, a perdu ~7 M$ quand des attaquants ont manipulé la comptabilité de liquidité de la courbe pour drainer les pools BTC.

Des attaquants ont compromis le backend BigONE et réécrit la logique de risque pour auto-approuver tout retrait, drainant 27 M$ sans exposer de clés.

Plus de 90 M$ drainés du plus grand échange iranien par Predatory Sparrow, puis brûlés vers des adresses avec messages anti-IRGC — destruction, pas profit.

Une faille de vérification d'auto-listing a drainé 8,37 M$ (jusqu'à 16,2 M$ avec les tokens ALEX) d'ALEX Protocol sur Stacks, second incident majeur en 13 mois.

~73 M$ drainés des hot wallets de Phemex sur 16 blockchains dans un balayage coordonné — premier piratage d'échange majeur de 2025, TTPs cohérents avec Lazarus.

13,7 M$ drainés des hot wallets de M2 Exchange basé aux Émirats en BTC, ETH et Solana ; identifié, contenu et fonds clients restaurés en seulement 16 minutes.

~55 M$ drainés des hot wallets BtcTurk, Binance gelant environ 5,3 M$ des fonds volés en vol — la plus grande compromission d'échange turc à ce jour.

22 M$ (158 BTC, 2 161 ETH, plus LTC/BCH) drainés de Lykke via une compromission de clé privée que l'échange britannique a tenté de cacher ; attribué à Lazarus.

Des opérateurs DPRK ont compromis un développeur du vendeur de wallets Ginco via une fausse offre LinkedIn, drainant 4 502,9 BTC (305 M$) de DMM Bitcoin.

Le groupe Lazarus (RPDC) a drainé 4,3 M$ du pont inter-chaînes Stacks d'ALEX Lab via une faille de vérification, retracée par le blanchiment on-chain.

Plus de 114 M$ balayés des hot wallets Ethereum et Tron de Poloniex après extraction des clés privées ; Justin Sun a promis le remboursement complet.

200 M$ drainés des hot wallets de Mixin Network après compromission du fournisseur cloud hébergeant la base centralisée — un réveil sur l'infrastructure.

Lazarus a drainé 54 M$ des hot wallets CoinEx sur Ethereum, Tron, BSC et 7 autres chaînes, réutilisant l'infrastructure du hack Stake.com précédent.

Une compromission de clé privée a drainé 60 M$ des hot wallets d'AlphaPo sur Tron, Bitcoin et Ethereum. Le FBI a attribué la brèche au groupe Lazarus.

Une opération Lazarus a ciblé le logiciel Atomic Wallet, drainant 100 M$+ d'environ 5 500 utilisateurs et contournant les garanties de self-custody.

Une brèche des backups chiffrés LastPass a mené à un drainage pluriannuel de victimes y stockant leurs seed phrases ; pertes de 35 M$ à plus de 400 M$.

Un attaquant a drainé 28 M$ des hot wallets BTC/ETH/USDC de Deribit ; le plus grand exchange d'options crypto a couvert la perte, cold storage intact.

Un contournement de 2FA a drainé 34 M$ depuis 483 comptes Crypto.com ; les attaquants ont autorisé des transactions sans que le second facteur ne soit demandé.

~97 M$ drainés des warm wallets de Liquid Global au Japon en ETH, XRP, BTC et stablecoins ; FTX a prêté 120 M$ d'urgence, puis l'a acquis.

13 M$+ drainés de THORChain en deux attaques séparées d'une semaine, exploitant des failles de faux dépôts dans le pont Ethereum Bifrost, peu après Chaosnet.

281 M$ drainés des hot wallets KuCoin en BTC, ETH et ERC-20 — le 3e plus gros hack d'exchange, opération Lazarus ; environ 84 % récupérés.

Le plus grand échange crypto canadien s'est effondré quand son PDG est « décédé » en Inde, seul détenteur de ~190 M$ de fonds clients ; jugé Ponzi par la suite.

Des hackers ont volé 119 754 BTC (71 M$ à l'époque, 9 Md$+ à la récupération) des hot wallets multi-sig Bitfinex, récupérés six ans plus tard par le DOJ.

Le plus grand échange Bitcoin de son époque a stoppé les retraits et déposé le bilan, avec 850 000 BTC manquants — la plupart volés des années plus tôt.