Exploit de décalage de réserves OLPC/LABUBU de BnbLabubu
Une faille de burn d'OLPC a créé un décalage de réserves sur un pool PancakeSwap V2 ; l'attaquant a racheté le LABUBU à prix faussé et drainé environ 1,1 M$.
Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.
Une faille de burn d'OLPC a créé un décalage de réserves sur un pool PancakeSwap V2 ; l'attaquant a racheté le LABUBU à prix faussé et drainé environ 1,1 M$.
Un transferFrom de valeur nulle a contourné l'allowance et déclenché un mint de récompense non autorisé vers la paire PancakeSwap, drainant environ 378 000 $ de Little Boy Plus.
Un return manquant dans la fonction _transfer du token DIP a permis à un attaquant de désynchroniser ses réserves PancakeSwap via skim/sync et de drainer environ 111 000 $ en USDC.
Une clé compromise de la Humanity Foundation a permis de vider des wallets et de frapper 100 M de tokens H sur BNB Chain, dérobant environ 32 M$ et faisant chuter $H de près de 90 %.
Un attaquant contrôlant les droits de mint a créé 99 millions de tokens TSR sur BNB Chain et les a liquidés pour environ 2,5 millions de dollars, faisant chuter le token de près de 99%.
Un attaquant a soumis de fausses VAA de gardiens au TokenBridge d'Alephium (un fork de Wormhole), vidant environ 815 000 dollars d'actifs en garde depuis Ethereum et BNB Chain en sept minutes environ.
Un attaquant contrôlant un ancien verrou de liquidité DxSale sur BNB Chain a vidé environ 7,3 M$ de BNB de plus de 1 400 pools verrouillés, sur fond de soupçons d'implication interne.
~10,8 M$ drainés des coffres Asgard de THORChain sur 9 chaînes via une faille présumée GG20 (TSS) exploitée par un opérateur de nœud malveillant.
1 Md de DOT bridgés mintés sur Hyperbridge après une vérification de bornes manquante dans VerifyProof ; perte réalisée ~2,5 M$.
Un utilisateur Venus Protocol a été phishé pour déléguer son compte, perdant ~3,7 M$ de sa position. Les contrats Venus n'ont jamais été compromis.
TMXTribe, un protocole de staking, a perdu ~1,4 M$ : une faille comptable de distribution a laissé un attaquant sur-réclamer à répétition, vidant la réserve.
Un vol probable de clé privée a donné aux attaquants le contrôle du contrat BSC de GANA Payment ; ils ont manipulé les taux et drainé 3,1 M$ via unstake.
GriffinAI, projet crypto d'agents IA, a perdu ~3 M$ après qu'une faille bridge/mint a permis de minter des tokens GAIN non backés et de les dumper.
~2 M$ rug-pullés de New Gold Protocol, projet « adossé à l'or » sur BNB Chain dont l'autorité privilégiée a drainé les dépôts avant la disparition de l'équipe.
Une faille du mint de tokens de crédit de Credix sur BNB Chain a permis de minter et racheter contre des positions fabriquées, drainant 4,5 M$.
Plus de 90 M$ drainés du plus grand échange iranien par Predatory Sparrow, puis brûlés vers des adresses avec messages anti-IRGC — destruction, pas profit.
Une faille de contrôle d'accès a drainé 3,76 M$ du Force Bridge de Nervos sur Ethereum et BNB Chain ; le butin a été routé via Tornado Cash et FixedFloat.
2,15 M$ drainés de MobiusDAO sur BNB Chain après un double scaling 10^18 créant 9,73 quadrillions de MBU à partir de 0,01 BNB ; blanchi via Tornado Cash.
7,5 M$ extraits des perps KiloEX sur Base, opBNB et BSC : le MinimalForwarder sautait les vérifs de signature ; positions à 100 $ / 10 000 $.
~73 M$ drainés des hot wallets de Phemex sur 16 blockchains dans un balayage coordonné — premier piratage d'échange majeur de 2025, TTPs cohérents avec Lazarus.
53 M$ drainés du multi-sig 3-de-11 de Radiant : un malware macOS a frappé trois signataires ; l'UI Safe affichait des tx propres pendant la signature.
Une compromission multi-chaînes de style RPDC a balayé 52 M$ des hot wallets BingX sur Ethereum, BNB Chain, Avalanche, Optimism et Polygon.
~20 M$ raflés du plus grand exchange crypto d'Indonésie sur plusieurs chaînes dans une compromission de hot wallets coordonnée durant la série 2024.
~220 K$ drainés de HYPR Network après qu'une faille bridge/contrat a permis l'extraction de liquidité bridgée — petit échec de pont propre.
Lazarus a drainé 54 M$ des hot wallets CoinEx sur Ethereum, Tron, BSC et 7 autres chaînes, réutilisant l'infrastructure du hack Stake.com précédent.
Stake.com a perdu 41 M$ de ses hot wallets sur Ethereum, BSC et Polygon en 90 min ; le FBI a formellement attribué le vol à Lazarus et listé 40 adresses.
Une fonction withdrawFunds cachée réservée au deployer dans le contrat de staking BNB Chain de DeFiLabs a drainé 1,6 M$ avant la disparition du projet.
125 M$ drainés du pont Multichain un mois après l'arrestation du PDG Zhaojun ; l'équipe avait perdu l'accès MPC et les preuves pointaient un coup interne.
Une proposition de gouvernance discrète sur BNB Chain a accordé aux attaquants l'approbation sur chaque wallet d'Atlantis Loans, drainant 2,5 M$.
Une opération Lazarus a ciblé le logiciel Atomic Wallet, drainant 100 M$+ d'environ 5 500 utilisateurs et contournant les garanties de self-custody.
Le troisième incident de DEUS DAO a drainé 6,5 M$ sur BNB, Arbitrum et Ethereum via une faille dans la logique burnFrom/approval de DEI.
Level Finance sur BNB Chain a perdu 1,1 M$ : LevelReferralControllerV2 payait sans marquer l'epoch claimed, permettant des claims répétés.
SafeMoon a perdu 8,9 M$ de son pool WBNB après qu'une mise à niveau a laissé burn() public, permettant de brûler les SFM des autres et drainer WBNB.
3 M$ drainés d'Orion sur Ethereum/BSC : doSwapThroughOrionPool acceptait des chemins non validés sans garde de réentrance ; un faux jeton a inflé les soldes.
Une clé dev Ankr volée a permis de frapper 60 000 Md d'aBNBc, qu'Helio a accepté comme collatéral pour prêter 16 M$ de HAY avant le gel de 3 M$ par Binance.
Une vérification Merkle défectueuse dans le pont BSC natif a permis de forger des retraits de 2 M BNB avant que les validateurs n'arrêtent la chaîne.
Les utilisateurs de Transit Swap avec approbations infinies ont perdu 21 M$ : claimTokens ne validait pas quel jeton appeler en transferFrom. 70 % rendus.
Gym Network sur BNB Chain a perdu 2,1 M$ : une fonction de dépôt acceptait une signature de référent sans la valider, mintant d'énormes récompenses.
Fortress sur BNB Chain a perdu 3 M$ après manipulation de FTS via un oracle fin et une proposition de gouvernance fixant des collateral factors arbitraires.
DEUS DAO a perdu 13,4 M$ après avoir tarifé le collatéral DEI depuis un pool Solidly DEI/USDC qu'un prêt flash a déplacé, vidant les réserves de prêt.
~1,7 M$ drainés de Paraluni sur BNB Chain : la fonction de dépôt acceptait un jeton non validé sans garde, permettant à un faux jeton de réintroduire.
Une compromission de clé a drainé 10 M$ de Dego Finance sur Ethereum et BNB Chain, vidant les pools et wallets utilisateurs avec approvals actives.
Le pont Meter Passport a perdu 4,4 M$ : son gestionnaire de dépôt a accepté un montant de jeton enveloppé sans contrepartie, créant des BNB/ETH pontés.
Un attaquant a trompé le pont BSC de Qubit créant 77 162 qXETH (185 M$ nominal) sans déposer d'ETH, empruntant 206 809 BNB (80 M$).
Rug pull d'environ 1,75 M$ sur 8ight Finance : les opérateurs ont utilisé une autorité privilégiée pour vider les dépôts groupés, puis ont effacé toute trace.
Un attaquant a drainé 77,7 M$ sur 78 tokens ERC-20 des hot wallets AscendEX sur Ethereum, BSC et Polygon, lié à une vulnérabilité matérielle tierce.
Une seule compromission de clé privée a drainé 196 M$ depuis deux hot wallets Bitmart sur Ethereum et BNB Chain ; le CEO Sheldon Xia a indemnisé sur réserves.
Un phishing avec macro Word sur la machine d'un dev a permis à des attaquants liés à Lazarus de drainer 55 M$ des déploiements Polygon et BSC de bZx.
Une compromission de clé admin a permis à l'attaquant de retirer 139 M$ de liquidité DEX poolée de BXH sur BSC, l'une des grandes pertes oubliées de 2021.
Un bug de contrat cross-chain a permis à un attaquant d'échanger la clé publique du keeper et retirer 611 M$ de trois chaînes — restitués en totalité.
13 M$+ drainés de THORChain en deux attaques séparées d'une semaine, exploitant des failles de faux dépôts dans le pont Ethereum Bifrost, peu après Chaosnet.
Une faille dans le pont Ethereum-BSC de ChainSwap a permis de minter 20+ tokens supportés ; 4 M$ drainés, tokens affectés chutant 95 %+.
Un attaquant a détecté un k réutilisé dans deux signatures BSC, recalculé la clé privée MPC d'Anyswap V3 et drainé 7,9 M$ de ses pools de routeur inter-chaînes.
Une faille dans le chemin emergencyBurn/withdraw du vault nerveBUSD d'Eleven Finance a permis des retraits sans burn des shares, drainant ~4,5 M$ sur BNB Chain.
~3,7 M$ drainés d'Impossible Finance sur BNB Chain via une faille de swap-router permettant des swaps répétés contre des réserves obsolètes en une tx.
Wault Finance sur BNB Chain a perdu ~1 M$ : une manipulation flash-loan de la tarification WUSD/WEX a laissé l'attaquant mint et redeem à des taux biaisés.
Des prêts flash de 385 M$ ont manipulé une stratégie beltBUSD, faussant le calcul du prix par part pour extraire 6,23 M$ sur 50 M$ perdus.
BurgerSwap sur BNB Chain ne validait pas les tokens du swap-path : un callback de faux token a réentré le pool en plein swap et drainé 7,2 M$ de réserves.
Multiples exploits 2021 (~680 K$+) de Merlin Labs sur BNB Chain, un optimiseur dont la tarification stratégie/récompense a été manipulée via prêts flash.
Un prêt flash a manipulé le prix SHARK/BNB, gonflant la récompense mintée d'AutoShark et drainant ~745 K$ sur BSC, réplique quasi exacte de PancakeBunny.
45 M$ extraits de PancakeBunny quand un prêt flash de 704 M$ a manipulé l'oracle BUNNY/BNB et créé ~7 M BUNNY à partir de rien ; BUNNY a chuté 95% en minutes.
Spartan Protocol a perdu 30 M$ sur BSC via un calcul de parts LP défectueux, première grande attaque flash loan sur BSC et tournant pour sa DeFi.
57,2 M$ extraits d'Uranium Finance via une constante mal placée dans la migration v2.1 (1 000 000 vs 10 000), permettant à 1 wei d'échanger 98 % des pools.
Un prêt flash a manipulé les prix TRUNK/BUSD et ELEPHANT du mécanisme buy/sell d'Elephant Money sur BNB Chain, drainant environ 22 M$.
Les Crowdpools V2 de DODO ont perdu 3,8 M$ après que l'attaquant a rappelé init() avec un faux token ; des bots MEV en ont front-run environ 1,9 M$.
Une manipulation flash-loan du pricing gToken/stkToken de Growth DeFi a permis d'extraire ~1,3 M$ de réserves à taux déséquilibrés (« The Big Combo »).