Optimism — hacks & exploits

Une compromission de hot wallet sur 7 chaînes a drainé 48 M$ chez BtcTurk, deuxième hack majeur en 14 mois. Le cold storage est resté intact.

Une compromission multi-chaînes de style RPDC a balayé 52 M$ des hot wallets BingX sur Ethereum, BNB Chain, Avalanche, Optimism et Polygon.

Sonne Finance a perdu 20 M$ sur Optimism via une 'donation attack', exploit connu des forks Compound v2 visant l'écart entre déploiement et amorçage.

1,9 M$ drainés de Pike Finance : des contrats modifiables non initialisés ont permis à un attaquant de prendre la propriété et drainer les actifs CCIP.

54,7 M$ drainés de KyberSwap Elastic après qu'une erreur d'arrondi en liquidité concentrée a trompé les pools en reconnaissant le double de liquidité.

L'attaquant a passé un faux marché et un permit forgé au DebtManager d'Exactly sur Optimism ; leverage() ne validait rien, drainant 7,3 M$ sur 117 comptes.

Hundred Finance sur Optimism a perdu 7 M$ : un bug de précision dans le fork Compound v2 a permis à un minuscule hWBTC de drainer le pool.

Un contrôle d'accès manquant dans RouteProcessor2 de Sushi a laissé les bots drainer 3,3 M$ en WETH aux utilisateurs avec approbations, avant le sauvetage.

Kokomo Finance, fork Compound sur Optimism, a rug 4 M$ : pause de cBTC, redirection des rewards vers une impl. malveillante, drainage du WBTC et disparition.

Une réentrance en lecture seule Curve sur remove_liquidity a drainé 3,65 M$ du pool wstETH/ETH de dForce. Un white hat a restitué tous les fonds.