Polygon — hacks & exploits

Une compromission de hot wallet sur 7 chaînes a drainé 48 M$ chez BtcTurk, deuxième hack majeur en 14 mois. Le cold storage est resté intact.

~73 M$ drainés des hot wallets de Phemex sur 16 blockchains dans un balayage coordonné — premier piratage d'échange majeur de 2025, TTPs cohérents avec Lazarus.

Une compromission multi-chaînes de style RPDC a balayé 52 M$ des hot wallets BingX sur Ethereum, BNB Chain, Avalanche, Optimism et Polygon.

~20 M$ raflés du plus grand exchange crypto d'Indonésie sur plusieurs chaînes dans une compromission de hot wallets coordonnée durant la série 2024.

54,7 M$ drainés de KyberSwap Elastic après qu'une erreur d'arrondi en liquidité concentrée a trompé les pools en reconnaissant le double de liquidité.

Lazarus a drainé 54 M$ des hot wallets CoinEx sur Ethereum, Tron, BSC et 7 autres chaînes, réutilisant l'infrastructure du hack Stake.com précédent.

Stake.com a perdu 41 M$ de ses hot wallets sur Ethereum, BSC et Polygon en 90 min ; le FBI a formellement attribué le vol à Lazarus et listé 40 adresses.

Un contrôle d'accès manquant dans RouteProcessor2 de Sushi a laissé les bots drainer 3,3 M$ en WETH aux utilisateurs avec approbations, avant le sauvetage.

Reporter un prix WALBT absurde à l'oracle Tellor de BonqDAO (10 TRB, sous 1 K$) a minté 120 M$ et fait chuter la TVL du protocole de 99,66 % en une transaction.

Midas Capital sur Polygon a perdu 660 K$ via réentrance en lecture seule Curve mal valorisant une garantie LP jBRL/BRZ pour emprunt à valeur gonflée.

8,7 M$ drainés de Superfluid : un 'context' malveillant passé à son contrat host a permis à l'attaquant d'usurper l'appelant et exécuter des streams privés.

148 wallets Vulcan Forged ont perdu 4,5M PYR (140 M$) après que les attaquants ont compromis Venly détenant leurs clés privées. Remboursé via le trésor.

Un attaquant a drainé 77,7 M$ sur 78 tokens ERC-20 des hot wallets AscendEX sur Ethereum, BSC et Polygon, lié à une vulnérabilité matérielle tierce.

31 M$ drainés des pools mono-jeton de MonoX après que l'attaquant a échangé un jeton avec lui-même, gonflant MONO dans l'oracle propre jusqu'à vider les pools.

Un phishing avec macro Word sur la machine d'un dev a permis à des attaquants liés à Lazarus de drainer 55 M$ des déploiements Polygon et BSC de bZx.

Un bug de contrat cross-chain a permis à un attaquant d'échanger la clé publique du keeper et retirer 611 M$ de trois chaînes — restitués en totalité.

~248 K$ drainés de SafeDollar sur Polygon via une faille de calcul de récompense qui a vidé les réserves SDO/USDC et brisé le peg du stablecoin algorithmique.

Les attaquants ont compromis la machine du CEO, extrait les clés de son MetaMask admin, puis minté EASY et drainé plus de 80 M$ sur Polygon.