Piratages Ethereum en 2020

Un bug storage/memory dans le Blacksmith de Cover a minté 40 quintillions de COVER, le prix chutant de 700 $ à moins de 5 $. Tous les fonds rendus.

Warp Finance a perdu 7,8 M$ en valorisant la collatéral LP Uniswap depuis des réserves spot manipulables ; un flash loan a gonflé la valeur LP.

L'équipe Compounder a poussé une mise à jour de stratégie malveillante échangeant la logique de pool pour une fonction de drainage, rug pull de 12 M$.

Compound a liquidé 89 M$ de positions sur-collatéralisées après que le DAI a brièvement tradé à 1,30 $ sur Coinbase Pro, source unique de l'oracle.

19,76 M$ DAI drainés de Pickle Finance après que l'attaquant a créé deux faux contrats « Jar » et exploité une vérification manquante dans swapExactJarForJar.

7,7 M$ drainés du coffre stablecoin OUSD deux mois après le lancement via un bug de réentrance par faux stablecoin introduit par un refactor d'économie de gaz.

Le coffre MultiStables de Value DeFi a perdu 7 M$ via une manipulation flash-loan du prix du Curve 3pool — cas canonique précoce du pattern.

Un faux ERC-20 avec un transferFrom réentrant a permis de réentrer le dépôt d'Akropolis et de frapper 2 M$ de parts de pool sans livrer de collatéral réel.

Trente boucles de manipulation du Curve YPool financées par un prêt flash de 50 M$ USDC ont extrait 24 M$ de Harvest Finance ; bank run de 570 M$.

Eminence d'Andre Cronje, non publié, a perdu 15 M$ via un exploit de bonding curve par prêt flash quelques heures après un teaser. 8 M$ ont été restitués.

281 M$ drainés des hot wallets KuCoin en BTC, ETH et ERC-20 — le 3e plus gros hack d'exchange, opération Lazarus ; environ 84 % récupérés.

La première attaque par prêt flash connue a drainé ~954 K$ de bZx deux fois en quatre jours, via des prêts Aave manipulant les oracles Uniswap.