Piratages Ethereum en 2022

Une brèche des backups chiffrés LastPass a mené à un drainage pluriannuel de victimes y stockant leurs seed phrases ; pertes de 35 M$ à plus de 400 M$.

Une opération SIM-swap a drainé 477 M$ des wallets FTX dans les heures suivant le Chapter 11, exploitant le chaos du plus grand effondrement crypto.

Un attaquant a drainé 28 M$ des hot wallets BTC/ETH/USDC de Deribit ; le plus grand exchange d'options crypto a couvert la perte, cold storage intact.

Team Finance a perdu 15,8 M$ lors d'une migration Uniswap v2→v3 : jetons verrouillés vers paire v3 biaisée puis remboursés comme 'reste' pour 2 700 $ de gaz.

2,3 M$ drainés du StaxLPStaking de TempleDAO : migrateStake() ne validait pas l'appelant, laissant quiconque migrer la position entière d'un autre staker.

Les utilisateurs de Transit Swap avec approbations infinies ont perdu 21 M$ : claimTokens ne validait pas quel jeton appeler en transferFrom. 70 % rendus.

Wintermute a perdu 160 M$ d'un hot wallet vanity Profanity dont la seed PRNG 32 bits laissait brute-forcer toute clé 'aléatoire'. Ils étaient au courant.

Des attaquants ont détourné le DNS de curve.fi via son registraire et servi un drainer frontend, volant ~575 K$ aux utilisateurs sans toucher aux contrats.

Une mise à niveau de routine a marqué le hash zéro comme racine valide, transformant chaque message Nomad en un retrait que n'importe qui pouvait copier-coller.

Un attaquant a exploité une faille d'initializer d'Audius pour s'auto-déléguer 10 000 milliards d'AUDIO et faire passer une proposition drainant 6 M$ du trésor.

Lazarus a compromis 2 des 5 clés multi-sig opérateur du pont cross-chain de Harmony et drainé 100 M$ ; le quorum 2-sur-5 était sous-dimensionné.

Une réentrance sur exitMarket() a drainé 80 M$ des pools Fuse de Rari Capital, fonction que l'équipe avait oublié de protéger lors d'un patch.

Le metapool sUSDv2 de Saddle a perdu 11,9 M$ : un bug connu de MetaSwapUtils a été redéployé par erreur ; les bots BlockSec ont sauvé 3,97 M$.

Un prêt flash de 1 Md$ a acheté 67 % de la gouvernance Beanstalk en un bloc, faisant passer une proposition drainant le trésor. 76 M$ nets, 182 M$ perdus.

15,6 M$ drainés d'Inverse Finance en manipulant son oracle Keep3r INV/ETH via un bundle de mempool privé, contournant le TWAP en un seul bloc invisible.

2 M$ drainés de Revest Finance via une réentrance dans mintAddressLock/depositAdditionalToFNFT permettant de créer des NFT surévalués puis de les racheter.

La compromission de clés privées de validateurs a drainé 173 600 ETH et 25,5 M USDC du pont Ronin — le plus grand piratage crypto de l'époque.

Une compromission de clé a drainé 10 M$ de Dego Finance sur Ethereum et BNB Chain, vidant les pools et wallets utilisateurs avec approvals actives.

Un contournement de vérification de signature côté Solana de Wormhole a laissé l'attaquant minter 120 000 wETH ex nihilo — adossés à aucune collatéral Ethereum.

Un attaquant a trompé le pont BSC de Qubit créant 77 162 qXETH (185 M$ nominal) sans déposer d'ETH, empruntant 206 809 BNB (80 M$).

Un contournement de 2FA a drainé 34 M$ depuis 483 comptes Crypto.com ; les attaquants ont autorisé des transactions sans que le second facteur ne soit demandé.