BNB Chain — hacks & exploits

1 Md de DOT bridgés mintés sur Hyperbridge après une vérification de bornes manquante dans VerifyProof ; perte réalisée ~2,5 M$.

Un utilisateur Venus Protocol a été phishé pour déléguer son compte, perdant ~3,7 M$ de sa position. Les contrats Venus n'ont jamais été compromis.

TMXTribe, un protocole de staking, a perdu ~1,4 M$ : une faille comptable de distribution a laissé un attaquant sur-réclamer à répétition, vidant la réserve.

Un vol probable de clé privée a donné aux attaquants le contrôle du contrat BSC de GANA Payment ; ils ont manipulé les taux et drainé 3,1 M$ via unstake.

GriffinAI, projet crypto d'agents IA, a perdu ~3 M$ après qu'une faille bridge/mint a permis de minter des tokens GAIN non backés et de les dumper.

~2 M$ rug-pullés de New Gold Protocol, projet « adossé à l'or » sur BNB Chain dont l'autorité privilégiée a drainé les dépôts avant la disparition de l'équipe.

Une faille du mint de tokens de crédit de Credix sur BNB Chain a permis de minter et racheter contre des positions fabriquées, drainant 4,5 M$.

Plus de 90 M$ drainés du plus grand échange iranien par Predatory Sparrow, puis brûlés vers des adresses avec messages anti-IRGC — destruction, pas profit.

Une faille de contrôle d'accès a drainé 3,76 M$ du Force Bridge de Nervos sur Ethereum et BNB Chain ; le butin a été routé via Tornado Cash et FixedFloat.

2,15 M$ drainés de MobiusDAO sur BNB Chain après un double scaling 10^18 créant 9,73 quadrillions de MBU à partir de 0,01 BNB ; blanchi via Tornado Cash.

7,5 M$ extraits des perps KiloEX sur Base, opBNB et BSC : le MinimalForwarder sautait les vérifs de signature ; positions à 100 $ / 10 000 $.

~73 M$ drainés des hot wallets de Phemex sur 16 blockchains dans un balayage coordonné — premier piratage d'échange majeur de 2025, TTPs cohérents avec Lazarus.

53 M$ drainés du multi-sig 3-de-11 de Radiant : un malware macOS a frappé trois signataires ; l'UI Safe affichait des tx propres pendant la signature.

Une compromission multi-chaînes de style RPDC a balayé 52 M$ des hot wallets BingX sur Ethereum, BNB Chain, Avalanche, Optimism et Polygon.

~20 M$ raflés du plus grand exchange crypto d'Indonésie sur plusieurs chaînes dans une compromission de hot wallets coordonnée durant la série 2024.

~220 K$ drainés de HYPR Network après qu'une faille bridge/contrat a permis l'extraction de liquidité bridgée — petit échec de pont propre.

Lazarus a drainé 54 M$ des hot wallets CoinEx sur Ethereum, Tron, BSC et 7 autres chaînes, réutilisant l'infrastructure du hack Stake.com précédent.

Stake.com a perdu 41 M$ de ses hot wallets sur Ethereum, BSC et Polygon en 90 min ; le FBI a formellement attribué le vol à Lazarus et listé 40 adresses.

Une fonction withdrawFunds cachée réservée au deployer dans le contrat de staking BNB Chain de DeFiLabs a drainé 1,6 M$ avant la disparition du projet.

125 M$ drainés du pont Multichain un mois après l'arrestation du PDG Zhaojun ; l'équipe avait perdu l'accès MPC et les preuves pointaient un coup interne.

Une proposition de gouvernance discrète sur BNB Chain a accordé aux attaquants l'approbation sur chaque wallet d'Atlantis Loans, drainant 2,5 M$.

Une opération Lazarus a ciblé le logiciel Atomic Wallet, drainant 100 M$+ d'environ 5 500 utilisateurs et contournant les garanties de self-custody.

Le troisième incident de DEUS DAO a drainé 6,5 M$ sur BNB, Arbitrum et Ethereum via une faille dans la logique burnFrom/approval de DEI.

Level Finance sur BNB Chain a perdu 1,1 M$ : LevelReferralControllerV2 payait sans marquer l'epoch claimed, permettant des claims répétés.

SafeMoon a perdu 8,9 M$ de son pool WBNB après qu'une mise à niveau a laissé burn() public, permettant de brûler les SFM des autres et drainer WBNB.

3 M$ drainés d'Orion sur Ethereum/BSC : doSwapThroughOrionPool acceptait des chemins non validés sans garde de réentrance ; un faux jeton a inflé les soldes.

Une clé dev Ankr volée a permis de frapper 60 000 Md d'aBNBc, qu'Helio a accepté comme collatéral pour prêter 16 M$ de HAY avant le gel de 3 M$ par Binance.

Une vérification Merkle défectueuse dans le pont BSC natif a permis de forger des retraits de 2 M BNB avant que les validateurs n'arrêtent la chaîne.

Les utilisateurs de Transit Swap avec approbations infinies ont perdu 21 M$ : claimTokens ne validait pas quel jeton appeler en transferFrom. 70 % rendus.

Gym Network sur BNB Chain a perdu 2,1 M$ : une fonction de dépôt acceptait une signature de référent sans la valider, mintant d'énormes récompenses.

Fortress sur BNB Chain a perdu 3 M$ après manipulation de FTS via un oracle fin et une proposition de gouvernance fixant des collateral factors arbitraires.

DEUS DAO a perdu 13,4 M$ après avoir tarifé le collatéral DEI depuis un pool Solidly DEI/USDC qu'un prêt flash a déplacé, vidant les réserves de prêt.

~1,7 M$ drainés de Paraluni sur BNB Chain : la fonction de dépôt acceptait un jeton non validé sans garde, permettant à un faux jeton de réintroduire.

Une compromission de clé a drainé 10 M$ de Dego Finance sur Ethereum et BNB Chain, vidant les pools et wallets utilisateurs avec approvals actives.

Le pont Meter Passport a perdu 4,4 M$ : son gestionnaire de dépôt a accepté un montant de jeton enveloppé sans contrepartie, créant des BNB/ETH pontés.

Un attaquant a trompé le pont BSC de Qubit créant 77 162 qXETH (185 M$ nominal) sans déposer d'ETH, empruntant 206 809 BNB (80 M$).

Rug pull d'environ 1,75 M$ sur 8ight Finance : les opérateurs ont utilisé une autorité privilégiée pour vider les dépôts groupés, puis ont effacé toute trace.

Un attaquant a drainé 77,7 M$ sur 78 tokens ERC-20 des hot wallets AscendEX sur Ethereum, BSC et Polygon, lié à une vulnérabilité matérielle tierce.

Une seule compromission de clé privée a drainé 196 M$ depuis deux hot wallets Bitmart sur Ethereum et BNB Chain ; le CEO Sheldon Xia a indemnisé sur réserves.

Un phishing avec macro Word sur la machine d'un dev a permis à des attaquants liés à Lazarus de drainer 55 M$ des déploiements Polygon et BSC de bZx.

Une compromission de clé admin a permis à l'attaquant de retirer 139 M$ de liquidité DEX poolée de BXH sur BSC, l'une des grandes pertes oubliées de 2021.

Un bug de contrat cross-chain a permis à un attaquant d'échanger la clé publique du keeper et retirer 611 M$ de trois chaînes — restitués en totalité.

13 M$+ drainés de THORChain en deux attaques séparées d'une semaine, exploitant des failles de faux dépôts dans le pont Ethereum Bifrost, peu après Chaosnet.

Une faille dans le pont Ethereum-BSC de ChainSwap a permis de minter 20+ tokens supportés ; 4 M$ drainés, tokens affectés chutant 95 %+.

Un attaquant a détecté un k réutilisé dans deux signatures BSC, recalculé la clé privée MPC d'Anyswap V3 et drainé 7,9 M$ de ses pools de routeur inter-chaînes.

Une faille dans le chemin emergencyBurn/withdraw du vault nerveBUSD d'Eleven Finance a permis des retraits sans burn des shares, drainant ~4,5 M$ sur BNB Chain.

~3,7 M$ drainés d'Impossible Finance sur BNB Chain via une faille de swap-router permettant des swaps répétés contre des réserves obsolètes en une tx.

Wault Finance sur BNB Chain a perdu ~1 M$ : une manipulation flash-loan de la tarification WUSD/WEX a laissé l'attaquant mint et redeem à des taux biaisés.

Des prêts flash de 385 M$ ont manipulé une stratégie beltBUSD, faussant le calcul du prix par part pour extraire 6,23 M$ sur 50 M$ perdus.

BurgerSwap sur BNB Chain ne validait pas les tokens du swap-path : un callback de faux token a réentré le pool en plein swap et drainé 7,2 M$ de réserves.

Multiples exploits 2021 (~680 K$+) de Merlin Labs sur BNB Chain, un optimiseur dont la tarification stratégie/récompense a été manipulée via prêts flash.

Un prêt flash a manipulé le prix SHARK/BNB, gonflant la récompense mintée d'AutoShark et drainant ~745 K$ sur BSC, réplique quasi exacte de PancakeBunny.

45 M$ extraits de PancakeBunny quand un prêt flash de 704 M$ a manipulé l'oracle BUNNY/BNB et créé ~7 M BUNNY à partir de rien ; BUNNY a chuté 95% en minutes.

Spartan Protocol a perdu 30 M$ sur BSC via un calcul de parts LP défectueux, première grande attaque flash loan sur BSC et tournant pour sa DeFi.

57,2 M$ extraits d'Uranium Finance via une constante mal placée dans la migration v2.1 (1 000 000 vs 10 000), permettant à 1 wei d'échanger 98 % des pools.

Un prêt flash a manipulé les prix TRUNK/BUSD et ELEPHANT du mécanisme buy/sell d'Elephant Money sur BNB Chain, drainant environ 22 M$.

Les Crowdpools V2 de DODO ont perdu 3,8 M$ après que l'attaquant a rappelé init() avec un faux token ; des bots MEV en ont front-run environ 1,9 M$.

Une manipulation flash-loan du pricing gToken/stkToken de Growth DeFi a permis d'extraire ~1,3 M$ de réserves à taux déséquilibrés (« The Big Combo »).