2022L'année en brèches

Une compromission de clé owner a ajouté un faux collatéral à Defrost sur Avalanche, liquidant les positions pour ~12 M$. Fonds majoritairement rendus.

Une brèche des backups chiffrés LastPass a mené à un drainage pluriannuel de victimes y stockant leurs seed phrases ; pertes de 35 M$ à plus de 400 M$.

4,4 M$ drainés des pools de liquidité Solana de Raydium : un malware a volé la clé privée admin, utilisée via fonctions admin pour retirer les frais.

Lodestar sur Arbitrum a perdu 6,5 M$ : son oracle plvGLP ignorait donate() gonflant les actifs GLP, permettant l'emprunt contre 83 % de collatéral inflaté.

Lodestar sur Arbitrum a perdu 6,5 M$ après manipulation de l'oracle plvGLP, lisant l'état du pool GLP, pour gonfler la garantie et vider les réserves.

Une clé dev Ankr volée a permis de frapper 60 000 Md d'aBNBc, qu'Helio a accepté comme collatéral pour prêter 16 M$ de HAY avant le gel de 3 M$ par Binance.

Une opération SIM-swap a drainé 477 M$ des wallets FTX dans les heures suivant le Chapter 11, exploitant le chaos du plus grand effondrement crypto.

3,2 M$ drainés sur NEAR via une faille comptable du trésor permettant à l'attaquant de réclamer SKYWARD à répétition sur le même solde.

Un attaquant a drainé 28 M$ des hot wallets BTC/ETH/USDC de Deribit ; le plus grand exchange d'options crypto a couvert la perte, cold storage intact.

Team Finance a perdu 15,8 M$ lors d'une migration Uniswap v2→v3 : jetons verrouillés vers paire v3 biaisée puis remboursés comme 'reste' pour 2 700 $ de gaz.

1,1 M$ drainés de Sovryn, un protocole Bitcoin-DeFi sur RSK, via une manipulation de prix AMM/oracle qui a permis d'emprunter contre une collatéral gonflée.

8,4 M$ extraits de Moola Market sur Celo : MOO acheté avec 243 K$ de CELO, gonflé 300x, utilisé en garantie ; 93,1% restitués pour prime 500 K$.

Avraham Eisenberg a gonflé l'oracle MNGO de 2 300% en 10 minutes, emprunté 117 M$ contre la garantie surévaluée, et est parti — reconfigurant le droit on-chain.

2,3 M$ drainés du StaxLPStaking de TempleDAO : migrateStake() ne validait pas l'appelant, laissant quiconque migrer la position entière d'un autre staker.

Une vérification Merkle défectueuse dans le pont BSC natif a permis de forger des retraits de 2 M BNB avant que les validateurs n'arrêtent la chaîne.

Les utilisateurs de Transit Swap avec approbations infinies ont perdu 21 M$ : claimTokens ne validait pas quel jeton appeler en transferFrom. 70 % rendus.

Wintermute a perdu 160 M$ d'un hot wallet vanity Profanity dont la seed PRNG 32 bits laissait brute-forcer toute clé 'aléatoire'. Ils étaient au courant.

Des attaquants ont détourné le DNS de curve.fi via son registraire et servi un drainer frontend, volant ~575 K$ aux utilisateurs sans toucher aux contrats.

~9 231 wallets Solana ont perdu 4,1 M$ après que Slope Wallet a journalisé les seed phrases en clair sur un serveur Sentry, tracé via forensique on-chain.

Une mise à niveau de routine a marqué le hash zéro comme racine valide, transformant chaque message Nomad en un retrait que n'importe qui pouvait copier-coller.

Un prêt flash de 10 M$ USDC a gonflé le jeton ANA de Nirvana de 4x ; l'attaquant a échangé ANA contre 13,49 M$ USDT et le stablecoin NIRV s'est dépeggé de 90%.

Un attaquant a exploité une faille d'initializer d'Audius pour s'auto-déléguer 10 000 milliards d'AUDIO et faire passer une proposition drainant 6 M$ du trésor.

Un faux tick account a contourné la vérification d'owner de Crema et récolté des frais fictifs via la comptabilité CLMM, drainant 9,6 M$ sur Solana.

Lazarus a compromis 2 des 5 clés multi-sig opérateur du pont cross-chain de Harmony et drainé 100 M$ ; le quorum 2-sur-5 était sous-dimensionné.

Gym Network sur BNB Chain a perdu 2,1 M$ : une fonction de dépôt acceptait une signature de référent sans la valider, mintant d'énormes récompenses.

Fortress sur BNB Chain a perdu 3 M$ après manipulation de FTS via un oracle fin et une proposition de gouvernance fixant des collateral factors arbitraires.

Les utilisateurs de MM Finance sur Cronos ont perdu 2 M$ après qu'une config non réclamée a permis d'échanger l'adresse du routeur, détournant les approbations.

Une réentrance sur exitMarket() a drainé 80 M$ des pools Fuse de Rari Capital, fonction que l'équipe avait oublié de protéger lors d'un patch.

Le metapool sUSDv2 de Saddle a perdu 11,9 M$ : un bug connu de MetaSwapUtils a été redéployé par erreur ; les bots BlockSec ont sauvé 3,97 M$.

DEUS DAO a perdu 13,4 M$ après avoir tarifé le collatéral DEI depuis un pool Solidly DEI/USDC qu'un prêt flash a déplacé, vidant les réserves de prêt.

Un prêt flash de 1 Md$ a acheté 67 % de la gouvernance Beanstalk en un bloc, faisant passer une proposition drainant le trésor. 76 M$ nets, 182 M$ perdus.

15,6 M$ drainés d'Inverse Finance en manipulant son oracle Keep3r INV/ETH via un bundle de mempool privé, contournant le TWAP en un seul bloc invisible.

Voltage Finance a perdu 4 M$ sur Fuse : le hook transferAndCall des ERC-677 a permis une réentrance dans borrow avant que la dette ne soit enregistrée.

2 M$ drainés de Revest Finance via une réentrance dans mintAddressLock/depositAdditionalToFNFT permettant de créer des NFT surévalués puis de les racheter.

Deux vérifications de collatéral manquantes ont permis de frapper 2 Md de faux stablecoins CASH sur Cashio, la TVL chutant de 48 M$ à zéro en une transaction.

La compromission de clés privées de validateurs a drainé 173 600 ETH et 25,5 M USDC du pont Ronin — le plus grand piratage crypto de l'époque.

Un exploit conjoint de réentrance a drainé ~11 M$ sur Agave et Hundred Finance via le callback de transfert ERC-677 du wETH/wXDAI sur Gnosis Chain.

~1,7 M$ drainés de Paraluni sur BNB Chain : la fonction de dépôt acceptait un jeton non validé sans garde, permettant à un faux jeton de réintroduire.

~1,4 M$ de NFT volés sur TreasureDAO : la fonction buy ne vérifiait pas que la quantité produisait un prix non nul, autorisant des achats gratuits.

Une compromission de clé a drainé 10 M$ de Dego Finance sur Ethereum et BNB Chain, vidant les pools et wallets utilisateurs avec approvals actives.

8,7 M$ drainés de Superfluid : un 'context' malveillant passé à son contrat host a permis à l'attaquant d'usurper l'appelant et exécuter des streams privés.

Le pont Meter Passport a perdu 4,4 M$ : son gestionnaire de dépôt a accepté un montant de jeton enveloppé sans contrepartie, créant des BNB/ETH pontés.

Un contournement de vérification de signature côté Solana de Wormhole a laissé l'attaquant minter 120 000 wETH ex nihilo — adossés à aucune collatéral Ethereum.

Un attaquant a trompé le pont BSC de Qubit créant 77 162 qXETH (185 M$ nominal) sans déposer d'ETH, empruntant 206 809 BNB (80 M$).

Un contournement de 2FA a drainé 34 M$ depuis 483 comptes Crypto.com ; les attaquants ont autorisé des transactions sans que le second facteur ne soit demandé.

Arbix Finance, audité par Certik, a frappé 10 M d'ARBX vers des adresses d'attaquants, drainé 10 M$ de dépôts et effacé toute sa présence web et sociale.

~3 M$ drainés de Tinyman, AMM principal d'Algorand, via une faille de logique swap/burn dans les opérations sur jetons de pool, sur de nombreux pools.