2021L'année en brèches

Rug pull d'environ 1,75 M$ sur 8ight Finance : les opérateurs ont utilisé une autorité privilégiée pour vider les dépôts groupés, puis ont effacé toute trace.

Une faille de comptabilité de récompenses chez Bent Finance a permis à une adresse de réclamer ~1,7 M$ bien au-delà de son droit avant la pause.

Le contrat de staking Visor Finance a perdu 8,2 M$ à une réentrance dans delegateTransferERC20. VISR a chuté de 95 % ; Visor a migré vers un nouveau jeton.

Les vaults Grim Finance sur Fantom ont perdu 30 M$ via une réentrance en 5 boucles dans depositFor. La TVL est passée de 98,9 M$ à 4,2 M$.

148 wallets Vulcan Forged ont perdu 4,5M PYR (140 M$) après que les attaquants ont compromis Venly détenant leurs clés privées. Remboursé via le trésor.

Un attaquant a drainé 77,7 M$ sur 78 tokens ERC-20 des hot wallets AscendEX sur Ethereum, BSC et Polygon, lié à une vulnérabilité matérielle tierce.

Une seule compromission de clé privée a drainé 196 M$ depuis deux hot wallets Bitmart sur Ethereum et BNB Chain ; le CEO Sheldon Xia a indemnisé sur réserves.

Une clé API Cloudflare compromise a permis d'injecter des approbations malveillantes dans le frontend BadgerDAO deux semaines, drainant 120 M$.

31 M$ drainés des pools mono-jeton de MonoX après que l'attaquant a échangé un jeton avec lui-même, gonflant MONO dans l'oracle propre jusqu'à vider les pools.

Le memecoin Avalanche SDOG a perdu 18 M$ à des initiés qui connaissaient la 'challengeKey' nécessaire pour trader sur son DEX, vidant le rachat avant le retail.

Un phishing avec macro Word sur la machine d'un dev a permis à des attaquants liés à Lazarus de drainer 55 M$ des déploiements Polygon et BSC de bZx.

Une compromission de clé admin a permis à l'attaquant de retirer 139 M$ de liquidité DEX poolée de BXH sur BSC, l'une des grandes pertes oubliées de 2021.

Une manipulation de prix yUSD par prêt flash a permis d'emprunter contre 1 Md$ de faux collatéral et drainer 130 M$ de Cream, son troisième exploit de 2021.

16 M$ drainés des pools index DEFI5 et CC10 via un exploit flash-loan ; l'attaquant ado a monté une défense « code is law » au Canada.

90 M$ drainés de Mirror Protocol sur Terra via déverrouillages d'ID dupliqués ; la perte est restée inaperçue sept mois jusqu'à l'effondrement de Terra.

Un bug de la Proposition 62 de Compound a versé jusqu'à 147 M$ de récompenses COMP non intentionnelles. La majorité fut rendue ; une partie conservée.

JayPegs Automart, schéma NFT « trading automatisé » sur Ethereum, a exit-scammé pour ~3,1 M$ quand les opérateurs ont drainé les dépôts et disparu.

Vee Finance sur Avalanche a perdu 35 M$ une semaine après le lancement : une manipulation Pangolin a contourné le slippage via un bug de décimales pré-signalé.

Une fonction init() non protégée dans les contrats de vesting de DAO Maker a permis la prise de contrôle et un emergencyExit, drainant 4 M$.

18,8 M$ drainés des marchés de prêt Cream v1 via un bug de réentrance dans le hook de transfert ERC-777 du token AMP — second des trois exploits 2021 de Cream.

~97 M$ drainés des warm wallets de Liquid Global au Japon en ETH, XRP, BTC et stablecoins ; FTX a prêté 120 M$ d'urgence, puis l'a acquis.

Un bug de contrat cross-chain a permis à un attaquant d'échanger la clé publique du keeper et retirer 611 M$ de trois chaînes — restitués en totalité.

9 M$ drainés de Punk Protocol minutes après le lancement via delegatecall à Initialize fixant l'attaquant comme forge ; 5 M$ récupérés par white-hats.

20,7 M$ drainés du pool Sorbetto Fragola de Popsicle : prêts flash et transferts de parts ont trompé le contrat lui faisant devoir des récompenses = TVL.

~1,5 M$ drainés de Levyathan Finance sur Fantom après la fuite de la clé deployer (reportée sur un repo public), permettant de minter du LEV illimité.

13 M$+ drainés de THORChain en deux attaques séparées d'une semaine, exploitant des failles de faux dépôts dans le pont Ethereum Bifrost, peu après Chaosnet.

Une clé déployeur compromise a permis de frapper ~373 M de BONDLY (~5,9 M$) et de les vendre dans la liquidité, effondrant le token avant migration.

Une faille dans le pont Ethereum-BSC de ChainSwap a permis de minter 20+ tokens supportés ; 4 M$ drainés, tokens affectés chutant 95 %+.

Un attaquant a détecté un k réutilisé dans deux signatures BSC, recalculé la clé privée MPC d'Anyswap V3 et drainé 7,9 M$ de ses pools de routeur inter-chaînes.

~248 K$ drainés de SafeDollar sur Polygon via une faille de calcul de récompense qui a vidé les réserves SDO/USDC et brisé le peg du stablecoin algorithmique.

Une faille dans le chemin emergencyBurn/withdraw du vault nerveBUSD d'Eleven Finance a permis des retraits sans burn des shares, drainant ~4,5 M$ sur BNB Chain.

~3,7 M$ drainés d'Impossible Finance sur BNB Chain via une faille de swap-router permettant des swaps répétés contre des réserves obsolètes en une tx.

Un bug de déploiement a créé des vaults Alchemix fantômes dirigeant 6,5 M$ de récompenses vers le remboursement des dettes utilisateurs. Mint gelé en 15 min.

Wault Finance sur BNB Chain a perdu ~1 M$ : une manipulation flash-loan de la tarification WUSD/WEX a laissé l'attaquant mint et redeem à des taux biaisés.

Des prêts flash de 385 M$ ont manipulé une stratégie beltBUSD, faussant le calcul du prix par part pour extraire 6,23 M$ sur 50 M$ perdus.

BurgerSwap sur BNB Chain ne validait pas les tokens du swap-path : un callback de faux token a réentré le pool en plein swap et drainé 7,2 M$ de réserves.

Multiples exploits 2021 (~680 K$+) de Merlin Labs sur BNB Chain, un optimiseur dont la tarification stratégie/récompense a été manipulée via prêts flash.

Un prêt flash a manipulé le prix SHARK/BNB, gonflant la récompense mintée d'AutoShark et drainant ~745 K$ sur BSC, réplique quasi exacte de PancakeBunny.

45 M$ extraits de PancakeBunny quand un prêt flash de 704 M$ a manipulé l'oracle BUNNY/BNB et créé ~7 M BUNNY à partir de rien ; BUNNY a chuté 95% en minutes.

xToken a perdu 24 M$ : xSNXa et xBNTa tarifés depuis des pools manipulables ; un flash loan a laissé l'attaquant mint à bas prix et racheter le sous-jacent.

2 600 ETH (10 M$, 60% du pool) drainés de Rari : son intégration ibETH d'Alpha Finance permettait des appels externes arbitraires activant la réentrance.

Spartan Protocol a perdu 30 M$ sur BSC via un calcul de parts LP défectueux, première grande attaque flash loan sur BSC et tournant pour sa DeFi.

57,2 M$ extraits d'Uranium Finance via une constante mal placée dans la migration v2.1 (1 000 000 vs 10 000), permettant à 1 wei d'échanger 98 % des pools.

Les attaquants ont compromis la machine du CEO, extrait les clés de son MetaMask admin, puis minté EASY et drainé plus de 80 M$ sur Polygon.

Un prêt flash a manipulé les prix TRUNK/BUSD et ELEPHANT du mécanisme buy/sell d'Elephant Money sur BNB Chain, drainant environ 22 M$.

5,7 M$ drainés du hot wallet de Roll, effondrant des dizaines de jetons « social money » de créateurs indépendants à la fois via une seule compromission de clé.

Les Crowdpools V2 de DODO ont perdu 3,8 M$ après que l'attaquant a rappelé init() avec un faux token ; des bots MEV en ont front-run environ 1,9 M$.

PAID Network a vu 27 M$+ créés après compromission d'une clé déployeur ; l'attaquant a vidé ~2,5 M pour 3 M$ avant pause. PAID a chuté ~85%.

Les utilisateurs de Furucombo ont perdu 14 M$ après que l'attaquant a trompé le proxy pour delegatecaller une fausse implémentation Aave v2.

Une manipulation flash-loan du pricing gToken/stkToken de Growth DeFi a permis d'extraire ~1,3 M$ de réserves à taux déséquilibrés (« The Big Combo »).

Un contrat « spell » a exploité un arrondi de parts d'emprunt pour accumuler zéro part contre une dette cySUSD, drainant 37,5 M$ d'Alpha Homora / Iron Bank.

Le coffre yDAI de Yearn a perdu 11 M$ (gain net 2,8 M$) : une séquence flash-loan de 11 tx a biaisé le prix DAI du Curve 3pool. Tether a gelé 1,7 M$.

Saddle Finance a perdu ~276 K$ dans l'heure suivant son lancement quand un stableswap défaillant a laissé des arbitragistes échanger à des taux mal tarifés.