Ethereum — hacks & exploits

Les coffres perp de Wasabi sur Ethereum, Base, Berachain et Blast ont perdu 5 M$ : un EOA deployer compromis avec ADMIN_ROLE unique a permis des upgrades UUPS.

292 M$ de rsETH non backé minté après exploitation du setup LayerZero 1-sur-1 DVN de KelpDAO ; le plus grand hack DeFi 2026, TVL en chute de 13 Md$.

1 Md de DOT bridgés mintés sur Hyperbridge après une vérification de bornes manquante dans VerifyProof ; perte réalisée ~2,5 M$.

Resolv Labs a perdu 25 M$ après compromission de ses clés AWS KMS ; un dépôt de 100 K$ USDC a créé 50 M USR et dépeggé le stablecoin de 74% en 17 minutes.

Le vault BRO de Solv a perdu 2,73 M$ : un bug double-mint ERC-3525 a transformé 135 BRO en ~567M BRO en 22 dépôts, puis échangés contre 38 SolvBTC.

4,3 M$ drainés du pont ioTube d'IoTeX via une compromission de clé validateur ; mint de 111M CIOTX et 9,3M CCS. IoTeX promet compensation à 100 %.

4,13 M$ extraits du pool Curve DUSD/USDC de Makina via manipulation d'oracle par prêt flash ; négociation white-hat a récupéré 89% en une semaine.

SagaEVM a perdu 7 M$ en 11 minutes quand un bug Ethermint a permis à des messages forgés de contourner la validation, créant des Saga Dollar (D) sans garantie.

Truebit a perdu 26,4 M$ : un overflow d'entier dans un contrat bonding curve de 5 ans a laissé l'attaquant minter TRU presque gratis et revendre pour 8 500 ETH.

Une mise à jour d'oracle a créé un décalage 18-vs-8 décimales dans les anciens vaults Ribbon DOV d'Aevo, drainant 2,7 M$. Aevo a fermé les vaults peu après.

USPD, stablecoin décentralisé récent, a perdu ~1 M$ via une faille mint/collatéral qui a permis de minter sans backing suffisant, dépeguant brièvement le jeton.

Le pool StableSwap yETH de Yearn a minté 235 septillions de yETH depuis 16 wei : un retrait avait remis l'offre à zéro mais laissé les soldes virtuels en cache.

Un vol probable de clé privée a donné aux attaquants le contrôle du contrat BSC de GANA Payment ; ils ont manipulé les taux et drainé 3,1 M$ via unstake.

Un défaut de contrôle d'accès et une erreur d'arrondi dans l'invariant de Balancer v2 ont drainé ~120 M$, plus grand exploit DeFi de 2025.

SBI Crypto, filiale minière de SBI Holdings, a perdu 24 M$ en BTC, ETH, LTC, DOGE et BCH. Non détecté pendant 7 jours, signalé par ZachXBT (motif Lazarus).

GriffinAI, projet crypto d'agents IA, a perdu ~3 M$ après qu'une faille bridge/mint a permis de minter des tokens GAIN non backés et de les dumper.

UXLINK, un protocole Web3 social, a perdu environ 41 M$ après que les attaquants ont compromis les clés multi-sig et exploité un delegatecall non restreint.

Une erreur d'arrondi dans la fonction withdraw de Bunni DEX a drainé 8,4 M$ sur Ethereum et Unichain. Le protocole a fermé.

Une compromission de hot wallet sur 7 chaînes a drainé 48 M$ chez BtcTurk, deuxième hack majeur en 14 mois. Le cold storage est resté intact.

Des attaquants ont drainé 44 M$ d'un compte de liquidité interne de CoinDCX pour réserves d'échange partenaire ; perte absorbée par la trésorerie.

Des attaquants ont compromis le backend BigONE et réécrit la logique de risque pour auto-approuver tout retrait, drainant 27 M$ sans exposer de clés.

9,8 M$ drainés de Resupply en moins de 90 minutes quand un prêt flash de 4 000 $ a exploité un coffre wstUSR de 2 heures via une attaque par donation ERC-4626.

Plus de 90 M$ drainés du plus grand échange iranien par Predatory Sparrow, puis brûlés vers des adresses avec messages anti-IRGC — destruction, pas profit.

Une faille de contrôle d'accès a drainé 3,76 M$ du Force Bridge de Nervos sur Ethereum et BNB Chain ; le butin a été routé via Tornado Cash et FixedFloat.

Un attaquant a drainé 12 M$ (3 761 wstETH) de Cork Protocol en créant un marché référençant le DS d'un autre, via un hook Uniswap v4 malveillant.

Une faille du garde-overflow dans le plus grand DEX de Sui a permis d'injecter une position de liquidité minuscule lue comme gigantesque, drainant 223 M$.

Zunami Protocol a perdu ~500 K$ dans un second incident, 2 ans après son exploit Curve 2023, à nouveau via tarification manipulable dans sa stratégie.

UPCX a perdu environ 70 M$ de son trésor après qu'un compte admin compromis a poussé une mise à niveau de contrat malveillante sur la plateforme de paiements.

355 K$ (toute la TVL) drainés du protocole SIR.trading via un mauvais usage du stockage transitoire qui a usurpé le check d'appelant uniswapV3SwapCallback.

8,4 M$ drainés de Zoth, un protocole de restaking RWA, après compromission de sa clé deployer utilisée pour pousser une implémentation proxy malveillante.

Un bug d'un ancien resolver Fusion v1 a permis à un attaquant de forger des calldata pour drainer 5 M$ des TrustedVolumes 1inch. Protocole et fonds intacts.

49,5 M$ drainés du vault Morpho MEVCapital USDC d'Infini par l'adresse qui a construit le contrat et a discrètement gardé l'autorité admin après lancement.

Du JavaScript malveillant injecté dans l'UI Safe{Wallet} a drainé 401 000 ETH (1,46 Md$) d'un transfert cold-wallet Bybit, plus grand vol crypto jamais.

~73 M$ drainés des hot wallets de Phemex sur 16 blockchains dans un balayage coordonné — premier piratage d'échange majeur de 2025, TTPs cohérents avec Lazarus.

The Idols NFT a perdu ~324 K$ : une faille comptable de récompenses de staking a permis à un attaquant de réclamer des récompenses bien au-delà du dû.

13,7 M$ drainés des hot wallets de M2 Exchange basé aux Émirats en BTC, ETH et Solana ; identifié, contenu et fonds clients restaurés en seulement 16 minutes.

Tapioca DAO a perdu 4,65 M$ après qu'un membre Discord a été manipulé pour connecter un hardware wallet ; l'attaquant a saisi TAP/USDO. 2,7 M$ récupérés.

Une compromission multi-chaînes de style RPDC a balayé 52 M$ des hot wallets BingX sur Ethereum, BNB Chain, Avalanche, Optimism et Polygon.

Une faille d'oracle de messages Telegram a drainé 3 M$ chez 11 utilisateurs Banana Gun via transferts manuels. L'équipe a remboursé sur trésorerie.

~20 M$ raflés du plus grand exchange crypto d'Indonésie sur plusieurs chaînes dans une compromission de hot wallets coordonnée durant la série 2024.

~27 M$ drainés de Penpie : une faille de réentrance dans le plugin Pendle a permis d'enregistrer un marché malveillant et retirer des récompenses peggées.

Une baleine crypto a perdu 55,47 M$ en DAI après avoir signé une tx malveillante sur une copie phishing de la page DeFi Saver propulsée par Inferno Drainer.

Un bot MEV white-hat a drainé 12 M$ du pont Ronin via une faille d'init dans du code mort laissant minimumVoteWeight à zéro. Tous fonds restitués pour 500 K$.

WazirX a perdu 234,9 M$ d'un Gnosis Safe 4/6 chez Liminal : les attaquants ont exploité une différence entre l'UI Liminal et les calldata réellement signées.

11,6 M$ drainés d'utilisateurs ayant accordé des approvals infinies à LI.FI ; une facette fraîchement déployée sautait une validation clé.

~55 M$ drainés des hot wallets BtcTurk, Binance gelant environ 5,3 M$ des fonds volés en vol — la plus grande compromission d'échange turc à ce jour.

Une faille dans le contrat opérateur de Holograph a permis de minter 1 Md de tokens HLG, 14,4 M$ nominal. HLG a chuté de 80 % en neuf heures.

UwULend a perdu 19,4 M$ après manipulation de 5 oracles sUSDe sur 11 via des swaps Curve, empruntant à 0,99 $ puis liquidant à 1,03 $. Suivi de 3,7 M$.

22 M$ (158 BTC, 2 161 ETH, plus LTC/BCH) drainés de Lykke via une compromission de clé privée que l'échange britannique a tenté de cacher ; attribué à Lazarus.

Un attaquant a pris le contrôle d'un rôle MINTER dormant pour minter 5 Md GALA (216 M$), vendu 21,8 M$ avant d'être blacklisté ; 4,4 Md tokens bloqués.

1,9 M$ drainés de Pike Finance : des contrats modifiables non initialisés ont permis à un attaquant de prendre la propriété et drainer les actifs CCIP.

ZKasino a pris 10 515 ETH (33 M$) à 8 000+ utilisateurs sur une promesse de retour ETH 1:1, puis a converti en ZKAS et staké sur Lido 15 mois. Fondateur arrêté.

Le vesting Hedgey Finance a perdu 44,7 M$ : une validation manquante a permis de créer des campagnes dont le claimLockup approuvait des transferts arbitraires.

11 M$ drainés de l'assistant de migration Trove de Prisma : l'attaquant a contourné migrate() et appelé flashloan() directement, exigeant des excuses.

Un attaquant a acheté une petite part CGT, exploité une faille de fork MakerDAO pour amplifier son pouvoir de vote, puis minté 1 Md de CGT (~16 M$) sur Curio.

2,1 M$ drainés de l'agrégateur DEX Unizen via une vulnérabilité d'appel externe non sécurisé dans une mise à niveau récente touchant les utilisateurs approuvés.

6,4 M$ drainés via approbations illimitées au contrat Chamber de Seneca, sans fonction pause. L'attaquant a rendu 80 % contre une prime de 20 %.

Une clé admin volée a permis à l'attaquant de s'ajouter comme minter et produire 1,79 Md PLA en deux frappes — nominal 290 M$, seulement 32 M$ encaissés.

Un bug d'arrondi dans la comptabilité des Cauldrons d'Abracadabra a permis de drainer 6,5 M$ (2 740 ETH + 2,2 M MIM) en remboursant les dettes d'autrui.

3,3 M$ drainés à des utilisateurs de l'agrégateur Socket/Bungee via une route SocketGateway non validée, qui appelait transferFrom sur les wallets approuvés.

~82 M$ drainés du pont cross-chain Orbit Chain le soir du Nouvel An après compromission de sept des dix signataires multi-sig ; pertes sur Ethereum et Klaytn.

~220 K$ drainés de HYPR Network après qu'une faille bridge/contrat a permis l'extraction de liquidité bridgée — petit échec de pont propre.

OKX DEX a perdu 2,7 M$ d'utilisateurs : une clé proxy-admin dépréciée compromise a mis à niveau le contrat vers une version balayant les approbations.

Une compromission opérateur a drainé 87 M$ du pont HECO plus 12 M$ des hot wallets HTX, frappant les deux plateformes de Justin Sun en 24 h.

54,7 M$ drainés de KyberSwap Elastic après qu'une erreur d'arrondi en liquidité concentrée a trompé les pools en reconnaissant le double de liquidité.

26 M$ drainés du market maker Kronos Research à Taipei après vol de clés API contrôlant les retraits programmatiques ; WOO a stoppé le trading.

Plus de 114 M$ balayés des hot wallets Ethereum et Tron de Poloniex après extraction des clés privées ; Justin Sun a promis le remboursement complet.

3,3 M$ du stablecoin R créés via un bug d'arrondi/mint de parts dans Raft, mais l'attaquant a raté l'encaissement, brûlant ~1 570 ETH. R s'est dépeggé.

640 K$ drainés aux utilisateurs Unibot via un bug d'approbation dans le nouveau contrat routeur du bot Telegram. Unibot a remboursé les utilisateurs affectés.

200 M$ drainés des hot wallets de Mixin Network après compromission du fournisseur cloud hébergeant la base centralisée — un réveil sur l'infrastructure.

2,7 M$ drainés des hot wallets de l'échange P2P Remitano en USDT, ANK, USDC et ETH via compromission de clé privée ; TTPs cohérents avec Lazarus.

Lazarus a drainé 54 M$ des hot wallets CoinEx sur Ethereum, Tron, BSC et 7 autres chaînes, réutilisant l'infrastructure du hack Stake.com précédent.

Stake.com a perdu 41 M$ de ses hot wallets sur Ethereum, BSC et Polygon en 90 min ; le FBI a formellement attribué le vol à Lazarus et listé 40 adresses.

Un attaquant a exploité une réentrance en lecture seule sur les rate providers des Boosted Pools Balancer après divulgation, drainant ~2,1 M$.

~1,3 M$ en péril sur Swerve Finance abandonné, fork Curve dormant dont la gouvernance peu active a laissé passer une proposition saisissant les fonds.

~2,6 M$ d'ETH bloqués ou en péril sur le pont Shibarium au lancement, après un contrat mal configuré et une surcharge de trafic rendant les fonds inaccessibles.

2,1 M$ drainés de Zunami Protocol après que ses prix zETH et UZD, dérivés de pools Curve manipulables, ont été gonflés par un attaquant flash-loan.

Un verrou de réentrance défectueux dans trois versions du compilateur Vyper a exposé plusieurs stablepools Curve à une attaque de réentrance classique.

Une compromission de clé privée a drainé 60 M$ des hot wallets d'AlphaPo sur Tron, Bitcoin et Ethereum. Le FBI a attribué la brèche au groupe Lazarus.

L'Omnipool ETH de Conic avait des gardes mais supposait que Curve v2 utilisait une adresse ETH spécifique. Un CurveLPOracleV2 l'a contourné, drainant 3,2 M$.

125 M$ drainés du pont Multichain un mois après l'arrestation du PDG Zhaojun ; l'équipe avait perdu l'accès MPC et les preuves pointaient un coup interne.

800 K$ drainés de Sturdy Finance via une réentrance lecture-seule Balancer qui a mal valorisé la collatéral LP B-stETH-STABLE. Fonds rendus après négociation.

Une opération Lazarus a ciblé le logiciel Atomic Wallet, drainant 100 M$+ d'environ 5 500 utilisateurs et contournant les garanties de self-custody.

La DAO Tornado Cash détournée : l'attaquant a selfdestruct une proposition adoptée et redéployé du code malveillant à la même adresse, saisissant 1,2M votes.

Le troisième incident de DEUS DAO a drainé 6,5 M$ sur BNB, Arbitrum et Ethereum via une faille dans la logique burnFrom/approval de DEI.

Une seule compromission de clé de signature a balayé 23 M$ en ETH, QNT, GALA, SHIB, HOT et MATIC du hot wallet de Bitrue, sous les 5 % des soldes.

Un contrat iEarn Yearn legacy mal configuré pointant vers le mauvais jeton Fulcrum a minté 1,2Q yUSDT et drainé 11 M$ d'Aave v1 sans alerter personne.

Un contrôle d'accès manquant dans RouteProcessor2 de Sushi a laissé les bots drainer 3,3 M$ en WETH aux utilisateurs avec approbations, avant le sauvetage.

Un health check manquant sur donateToReserves d'Euler a permis de créer une position auto-liquidable et de partir avec 197 M$ — majoritairement rendus.

Les utilisateurs de Dexible ont perdu 2 M$ après que selfSwap a effectué des appels externes arbitraires avec des données fournies par l'utilisateur.

3 M$ drainés d'Orion sur Ethereum/BSC : doSwapThroughOrionPool acceptait des chemins non validés sans garde de réentrance ; un faux jeton a inflé les soldes.

Une brèche des backups chiffrés LastPass a mené à un drainage pluriannuel de victimes y stockant leurs seed phrases ; pertes de 35 M$ à plus de 400 M$.

Une opération SIM-swap a drainé 477 M$ des wallets FTX dans les heures suivant le Chapter 11, exploitant le chaos du plus grand effondrement crypto.

Un attaquant a drainé 28 M$ des hot wallets BTC/ETH/USDC de Deribit ; le plus grand exchange d'options crypto a couvert la perte, cold storage intact.

Team Finance a perdu 15,8 M$ lors d'une migration Uniswap v2→v3 : jetons verrouillés vers paire v3 biaisée puis remboursés comme 'reste' pour 2 700 $ de gaz.

2,3 M$ drainés du StaxLPStaking de TempleDAO : migrateStake() ne validait pas l'appelant, laissant quiconque migrer la position entière d'un autre staker.

Les utilisateurs de Transit Swap avec approbations infinies ont perdu 21 M$ : claimTokens ne validait pas quel jeton appeler en transferFrom. 70 % rendus.

Wintermute a perdu 160 M$ d'un hot wallet vanity Profanity dont la seed PRNG 32 bits laissait brute-forcer toute clé 'aléatoire'. Ils étaient au courant.

Des attaquants ont détourné le DNS de curve.fi via son registraire et servi un drainer frontend, volant ~575 K$ aux utilisateurs sans toucher aux contrats.

Une mise à niveau de routine a marqué le hash zéro comme racine valide, transformant chaque message Nomad en un retrait que n'importe qui pouvait copier-coller.

Un attaquant a exploité une faille d'initializer d'Audius pour s'auto-déléguer 10 000 milliards d'AUDIO et faire passer une proposition drainant 6 M$ du trésor.

Lazarus a compromis 2 des 5 clés multi-sig opérateur du pont cross-chain de Harmony et drainé 100 M$ ; le quorum 2-sur-5 était sous-dimensionné.

Une réentrance sur exitMarket() a drainé 80 M$ des pools Fuse de Rari Capital, fonction que l'équipe avait oublié de protéger lors d'un patch.

Le metapool sUSDv2 de Saddle a perdu 11,9 M$ : un bug connu de MetaSwapUtils a été redéployé par erreur ; les bots BlockSec ont sauvé 3,97 M$.

Un prêt flash de 1 Md$ a acheté 67 % de la gouvernance Beanstalk en un bloc, faisant passer une proposition drainant le trésor. 76 M$ nets, 182 M$ perdus.

15,6 M$ drainés d'Inverse Finance en manipulant son oracle Keep3r INV/ETH via un bundle de mempool privé, contournant le TWAP en un seul bloc invisible.

2 M$ drainés de Revest Finance via une réentrance dans mintAddressLock/depositAdditionalToFNFT permettant de créer des NFT surévalués puis de les racheter.

La compromission de clés privées de validateurs a drainé 173 600 ETH et 25,5 M USDC du pont Ronin — le plus grand piratage crypto de l'époque.

Une compromission de clé a drainé 10 M$ de Dego Finance sur Ethereum et BNB Chain, vidant les pools et wallets utilisateurs avec approvals actives.

Un contournement de vérification de signature côté Solana de Wormhole a laissé l'attaquant minter 120 000 wETH ex nihilo — adossés à aucune collatéral Ethereum.

Un attaquant a trompé le pont BSC de Qubit créant 77 162 qXETH (185 M$ nominal) sans déposer d'ETH, empruntant 206 809 BNB (80 M$).

Un contournement de 2FA a drainé 34 M$ depuis 483 comptes Crypto.com ; les attaquants ont autorisé des transactions sans que le second facteur ne soit demandé.

Une faille de comptabilité de récompenses chez Bent Finance a permis à une adresse de réclamer ~1,7 M$ bien au-delà de son droit avant la pause.

Le contrat de staking Visor Finance a perdu 8,2 M$ à une réentrance dans delegateTransferERC20. VISR a chuté de 95 % ; Visor a migré vers un nouveau jeton.

148 wallets Vulcan Forged ont perdu 4,5M PYR (140 M$) après que les attaquants ont compromis Venly détenant leurs clés privées. Remboursé via le trésor.

Un attaquant a drainé 77,7 M$ sur 78 tokens ERC-20 des hot wallets AscendEX sur Ethereum, BSC et Polygon, lié à une vulnérabilité matérielle tierce.

Une seule compromission de clé privée a drainé 196 M$ depuis deux hot wallets Bitmart sur Ethereum et BNB Chain ; le CEO Sheldon Xia a indemnisé sur réserves.

Une clé API Cloudflare compromise a permis d'injecter des approbations malveillantes dans le frontend BadgerDAO deux semaines, drainant 120 M$.

31 M$ drainés des pools mono-jeton de MonoX après que l'attaquant a échangé un jeton avec lui-même, gonflant MONO dans l'oracle propre jusqu'à vider les pools.

Une manipulation de prix yUSD par prêt flash a permis d'emprunter contre 1 Md$ de faux collatéral et drainer 130 M$ de Cream, son troisième exploit de 2021.

16 M$ drainés des pools index DEFI5 et CC10 via un exploit flash-loan ; l'attaquant ado a monté une défense « code is law » au Canada.

Un bug de la Proposition 62 de Compound a versé jusqu'à 147 M$ de récompenses COMP non intentionnelles. La majorité fut rendue ; une partie conservée.

JayPegs Automart, schéma NFT « trading automatisé » sur Ethereum, a exit-scammé pour ~3,1 M$ quand les opérateurs ont drainé les dépôts et disparu.

Une fonction init() non protégée dans les contrats de vesting de DAO Maker a permis la prise de contrôle et un emergencyExit, drainant 4 M$.

18,8 M$ drainés des marchés de prêt Cream v1 via un bug de réentrance dans le hook de transfert ERC-777 du token AMP — second des trois exploits 2021 de Cream.

~97 M$ drainés des warm wallets de Liquid Global au Japon en ETH, XRP, BTC et stablecoins ; FTX a prêté 120 M$ d'urgence, puis l'a acquis.

Un bug de contrat cross-chain a permis à un attaquant d'échanger la clé publique du keeper et retirer 611 M$ de trois chaînes — restitués en totalité.

9 M$ drainés de Punk Protocol minutes après le lancement via delegatecall à Initialize fixant l'attaquant comme forge ; 5 M$ récupérés par white-hats.

20,7 M$ drainés du pool Sorbetto Fragola de Popsicle : prêts flash et transferts de parts ont trompé le contrat lui faisant devoir des récompenses = TVL.

13 M$+ drainés de THORChain en deux attaques séparées d'une semaine, exploitant des failles de faux dépôts dans le pont Ethereum Bifrost, peu après Chaosnet.

Une clé déployeur compromise a permis de frapper ~373 M de BONDLY (~5,9 M$) et de les vendre dans la liquidité, effondrant le token avant migration.

Une faille dans le pont Ethereum-BSC de ChainSwap a permis de minter 20+ tokens supportés ; 4 M$ drainés, tokens affectés chutant 95 %+.

Un attaquant a détecté un k réutilisé dans deux signatures BSC, recalculé la clé privée MPC d'Anyswap V3 et drainé 7,9 M$ de ses pools de routeur inter-chaînes.

Un bug de déploiement a créé des vaults Alchemix fantômes dirigeant 6,5 M$ de récompenses vers le remboursement des dettes utilisateurs. Mint gelé en 15 min.

xToken a perdu 24 M$ : xSNXa et xBNTa tarifés depuis des pools manipulables ; un flash loan a laissé l'attaquant mint à bas prix et racheter le sous-jacent.

2 600 ETH (10 M$, 60% du pool) drainés de Rari : son intégration ibETH d'Alpha Finance permettait des appels externes arbitraires activant la réentrance.

Les attaquants ont compromis la machine du CEO, extrait les clés de son MetaMask admin, puis minté EASY et drainé plus de 80 M$ sur Polygon.

5,7 M$ drainés du hot wallet de Roll, effondrant des dizaines de jetons « social money » de créateurs indépendants à la fois via une seule compromission de clé.

Les Crowdpools V2 de DODO ont perdu 3,8 M$ après que l'attaquant a rappelé init() avec un faux token ; des bots MEV en ont front-run environ 1,9 M$.

PAID Network a vu 27 M$+ créés après compromission d'une clé déployeur ; l'attaquant a vidé ~2,5 M pour 3 M$ avant pause. PAID a chuté ~85%.

Les utilisateurs de Furucombo ont perdu 14 M$ après que l'attaquant a trompé le proxy pour delegatecaller une fausse implémentation Aave v2.

Une manipulation flash-loan du pricing gToken/stkToken de Growth DeFi a permis d'extraire ~1,3 M$ de réserves à taux déséquilibrés (« The Big Combo »).

Un contrat « spell » a exploité un arrondi de parts d'emprunt pour accumuler zéro part contre une dette cySUSD, drainant 37,5 M$ d'Alpha Homora / Iron Bank.

Le coffre yDAI de Yearn a perdu 11 M$ (gain net 2,8 M$) : une séquence flash-loan de 11 tx a biaisé le prix DAI du Curve 3pool. Tether a gelé 1,7 M$.

Saddle Finance a perdu ~276 K$ dans l'heure suivant son lancement quand un stableswap défaillant a laissé des arbitragistes échanger à des taux mal tarifés.

Un bug storage/memory dans le Blacksmith de Cover a minté 40 quintillions de COVER, le prix chutant de 700 $ à moins de 5 $. Tous les fonds rendus.

Warp Finance a perdu 7,8 M$ en valorisant la collatéral LP Uniswap depuis des réserves spot manipulables ; un flash loan a gonflé la valeur LP.

L'équipe Compounder a poussé une mise à jour de stratégie malveillante échangeant la logique de pool pour une fonction de drainage, rug pull de 12 M$.

Compound a liquidé 89 M$ de positions sur-collatéralisées après que le DAI a brièvement tradé à 1,30 $ sur Coinbase Pro, source unique de l'oracle.

19,76 M$ DAI drainés de Pickle Finance après que l'attaquant a créé deux faux contrats « Jar » et exploité une vérification manquante dans swapExactJarForJar.

7,7 M$ drainés du coffre stablecoin OUSD deux mois après le lancement via un bug de réentrance par faux stablecoin introduit par un refactor d'économie de gaz.

Le coffre MultiStables de Value DeFi a perdu 7 M$ via une manipulation flash-loan du prix du Curve 3pool — cas canonique précoce du pattern.

Un faux ERC-20 avec un transferFrom réentrant a permis de réentrer le dépôt d'Akropolis et de frapper 2 M$ de parts de pool sans livrer de collatéral réel.

Trente boucles de manipulation du Curve YPool financées par un prêt flash de 50 M$ USDC ont extrait 24 M$ de Harvest Finance ; bank run de 570 M$.

Eminence d'Andre Cronje, non publié, a perdu 15 M$ via un exploit de bonding curve par prêt flash quelques heures après un teaser. 8 M$ ont été restitués.

281 M$ drainés des hot wallets KuCoin en BTC, ETH et ERC-20 — le 3e plus gros hack d'exchange, opération Lazarus ; environ 84 % récupérés.

La première attaque par prêt flash connue a drainé ~954 K$ de bZx deux fois en quatre jours, via des prêts Aave manipulant les oracles Uniswap.

Le plus grand échange crypto canadien s'est effondré quand son PDG est « décédé » en Inde, seul détenteur de ~190 M$ de fonds clients ; jugé Ponzi par la suite.

Une compromission de l'infrastructure wallet a balayé ~16 M$ chez 76 000+ utilisateurs Cryptopia, tuant l'échange néo-zélandais et forçant une faillite.

Deux incidents en quatre mois : une faille initWallet publique a drainé 30 M$, puis un utilisateur a détruit la bibliothèque, gelant 150 M$+ sur 151 multi-sigs.

The DAO a perdu 3,6M ETH (50 M$) à un bug de réentrance classique, le vol qui a divisé Ethereum en ETH et Ethereum Classic et réécrit le dev Solidity.