Piratages Ethereum en 2021

Une faille de comptabilité de récompenses chez Bent Finance a permis à une adresse de réclamer ~1,7 M$ bien au-delà de son droit avant la pause.

Le contrat de staking Visor Finance a perdu 8,2 M$ à une réentrance dans delegateTransferERC20. VISR a chuté de 95 % ; Visor a migré vers un nouveau jeton.

148 wallets Vulcan Forged ont perdu 4,5M PYR (140 M$) après que les attaquants ont compromis Venly détenant leurs clés privées. Remboursé via le trésor.

Un attaquant a drainé 77,7 M$ sur 78 tokens ERC-20 des hot wallets AscendEX sur Ethereum, BSC et Polygon, lié à une vulnérabilité matérielle tierce.

Une seule compromission de clé privée a drainé 196 M$ depuis deux hot wallets Bitmart sur Ethereum et BNB Chain ; le CEO Sheldon Xia a indemnisé sur réserves.

Une clé API Cloudflare compromise a permis d'injecter des approbations malveillantes dans le frontend BadgerDAO deux semaines, drainant 120 M$.

31 M$ drainés des pools mono-jeton de MonoX après que l'attaquant a échangé un jeton avec lui-même, gonflant MONO dans l'oracle propre jusqu'à vider les pools.

Une manipulation de prix yUSD par prêt flash a permis d'emprunter contre 1 Md$ de faux collatéral et drainer 130 M$ de Cream, son troisième exploit de 2021.

16 M$ drainés des pools index DEFI5 et CC10 via un exploit flash-loan ; l'attaquant ado a monté une défense « code is law » au Canada.

Un bug de la Proposition 62 de Compound a versé jusqu'à 147 M$ de récompenses COMP non intentionnelles. La majorité fut rendue ; une partie conservée.

JayPegs Automart, schéma NFT « trading automatisé » sur Ethereum, a exit-scammé pour ~3,1 M$ quand les opérateurs ont drainé les dépôts et disparu.

Une fonction init() non protégée dans les contrats de vesting de DAO Maker a permis la prise de contrôle et un emergencyExit, drainant 4 M$.

18,8 M$ drainés des marchés de prêt Cream v1 via un bug de réentrance dans le hook de transfert ERC-777 du token AMP — second des trois exploits 2021 de Cream.

~97 M$ drainés des warm wallets de Liquid Global au Japon en ETH, XRP, BTC et stablecoins ; FTX a prêté 120 M$ d'urgence, puis l'a acquis.

Un bug de contrat cross-chain a permis à un attaquant d'échanger la clé publique du keeper et retirer 611 M$ de trois chaînes — restitués en totalité.

9 M$ drainés de Punk Protocol minutes après le lancement via delegatecall à Initialize fixant l'attaquant comme forge ; 5 M$ récupérés par white-hats.

20,7 M$ drainés du pool Sorbetto Fragola de Popsicle : prêts flash et transferts de parts ont trompé le contrat lui faisant devoir des récompenses = TVL.

13 M$+ drainés de THORChain en deux attaques séparées d'une semaine, exploitant des failles de faux dépôts dans le pont Ethereum Bifrost, peu après Chaosnet.

Une clé déployeur compromise a permis de frapper ~373 M de BONDLY (~5,9 M$) et de les vendre dans la liquidité, effondrant le token avant migration.

Une faille dans le pont Ethereum-BSC de ChainSwap a permis de minter 20+ tokens supportés ; 4 M$ drainés, tokens affectés chutant 95 %+.

Un attaquant a détecté un k réutilisé dans deux signatures BSC, recalculé la clé privée MPC d'Anyswap V3 et drainé 7,9 M$ de ses pools de routeur inter-chaînes.

Un bug de déploiement a créé des vaults Alchemix fantômes dirigeant 6,5 M$ de récompenses vers le remboursement des dettes utilisateurs. Mint gelé en 15 min.

xToken a perdu 24 M$ : xSNXa et xBNTa tarifés depuis des pools manipulables ; un flash loan a laissé l'attaquant mint à bas prix et racheter le sous-jacent.

2 600 ETH (10 M$, 60% du pool) drainés de Rari : son intégration ibETH d'Alpha Finance permettait des appels externes arbitraires activant la réentrance.

Les attaquants ont compromis la machine du CEO, extrait les clés de son MetaMask admin, puis minté EASY et drainé plus de 80 M$ sur Polygon.

5,7 M$ drainés du hot wallet de Roll, effondrant des dizaines de jetons « social money » de créateurs indépendants à la fois via une seule compromission de clé.

Les Crowdpools V2 de DODO ont perdu 3,8 M$ après que l'attaquant a rappelé init() avec un faux token ; des bots MEV en ont front-run environ 1,9 M$.

PAID Network a vu 27 M$+ créés après compromission d'une clé déployeur ; l'attaquant a vidé ~2,5 M pour 3 M$ avant pause. PAID a chuté ~85%.

Les utilisateurs de Furucombo ont perdu 14 M$ après que l'attaquant a trompé le proxy pour delegatecaller une fausse implémentation Aave v2.

Une manipulation flash-loan du pricing gToken/stkToken de Growth DeFi a permis d'extraire ~1,3 M$ de réserves à taux déséquilibrés (« The Big Combo »).

Un contrat « spell » a exploité un arrondi de parts d'emprunt pour accumuler zéro part contre une dette cySUSD, drainant 37,5 M$ d'Alpha Homora / Iron Bank.

Le coffre yDAI de Yearn a perdu 11 M$ (gain net 2,8 M$) : une séquence flash-loan de 11 tx a biaisé le prix DAI du Curve 3pool. Tether a gelé 1,7 M$.

Saddle Finance a perdu ~276 K$ dans l'heure suivant son lancement quand un stableswap défaillant a laissé des arbitragistes échanger à des taux mal tarifés.