Attaques Bug de smart contract en 2022

3,2 M$ drainés sur NEAR via une faille comptable du trésor permettant à l'attaquant de réclamer SKYWARD à répétition sur le même solde.

Team Finance a perdu 15,8 M$ lors d'une migration Uniswap v2→v3 : jetons verrouillés vers paire v3 biaisée puis remboursés comme 'reste' pour 2 700 $ de gaz.

2,3 M$ drainés du StaxLPStaking de TempleDAO : migrateStake() ne validait pas l'appelant, laissant quiconque migrer la position entière d'un autre staker.

Les utilisateurs de Transit Swap avec approbations infinies ont perdu 21 M$ : claimTokens ne validait pas quel jeton appeler en transferFrom. 70 % rendus.

Un faux tick account a contourné la vérification d'owner de Crema et récolté des frais fictifs via la comptabilité CLMM, drainant 9,6 M$ sur Solana.

Gym Network sur BNB Chain a perdu 2,1 M$ : une fonction de dépôt acceptait une signature de référent sans la valider, mintant d'énormes récompenses.

Le metapool sUSDv2 de Saddle a perdu 11,9 M$ : un bug connu de MetaSwapUtils a été redéployé par erreur ; les bots BlockSec ont sauvé 3,97 M$.

Deux vérifications de collatéral manquantes ont permis de frapper 2 Md de faux stablecoins CASH sur Cashio, la TVL chutant de 48 M$ à zéro en une transaction.

~1,4 M$ de NFT volés sur TreasureDAO : la fonction buy ne vérifiait pas que la quantité produisait un prix non nul, autorisant des achats gratuits.

8,7 M$ drainés de Superfluid : un 'context' malveillant passé à son contrat host a permis à l'attaquant d'usurper l'appelant et exécuter des streams privés.

~3 M$ drainés de Tinyman, AMM principal d'Algorand, via une faille de logique swap/burn dans les opérations sur jetons de pool, sur de nombreux pools.