Bug de précision KyberSwap Elastic
54,7 M$ drainés de KyberSwap Elastic après qu'une erreur d'arrondi en liquidité concentrée a trompé les pools en reconnaissant le double de liquidité.
Perte
54.7M
USD
Dossier Année × Attaque
Attaques Bug de smart contract en 2023
Pertes totales
$308.9M
15 incidents
Bug de mint du stablecoin R de Raft
3,3 M$ du stablecoin R créés via un bug d'arrondi/mint de parts dans Raft, mais l'attaquant a raté l'encaissement, brûlant ~1 570 ETH. R s'est dépeggé.
Perte3.3MUSDDrainage d'approbations sur le routeur Unibot
640 K$ drainés aux utilisateurs Unibot via un bug d'approbation dans le nouveau contrat routeur du bot Telegram. Unibot a remboursé les utilisateurs affectés.
Perte640.0KUSDDeuxième et troisième exploits de Platypus Finance
~2,2 M$ drainés de Platypus Finance dans une grappe d'exploits d'octobre frappant le stableswap Avalanche via une logique de solvabilité/retrait défaillante.
Perte2.2MUSDDrainage SocialFi Stars Arena
2,9 M$ drainés de Stars Arena, une app SocialFi style friend.tech sur Avalanche, via une faille de logique prix-de-part/retrait, au pic du buzz SocialFi.
Perte2.9MUSDExploit de périphérie d'Exactly Protocol
L'attaquant a passé un faux marché et un permit forgé au DebtManager d'Exactly sur Optimism ; leverage() ne validait rien, drainant 7,3 M$ sur 117 comptes.
Perte7.3MUSDMint du stablecoin DEI de DEUS DAO
Le troisième incident de DEUS DAO a drainé 6,5 M$ sur BNB, Arbitrum et Ethereum via une faille dans la logique burnFrom/approval de DEI.
Perte6.5MUSDDouble-claim referral de Level Finance
Level Finance sur BNB Chain a perdu 1,1 M$ : LevelReferralControllerV2 payait sans marquer l'epoch claimed, permettant des claims répétés.
Perte1.1MUSDManipulation du taux de change de Hundred Finance
Hundred Finance sur Optimism a perdu 7 M$ : un bug de précision dans le fork Compound v2 a permis à un minuscule hWBTC de drainer le pool.
Perte7.0MUSDyUSDT iEarn mal configuré chez Yearn
Un contrat iEarn Yearn legacy mal configuré pointant vers le mauvais jeton Fulcrum a minté 1,2Q yUSDT et drainé 11 M$ d'Aave v1 sans alerter personne.
Perte11.5MUSDBug d'approbation Sushi RouteProcessor2
Un contrôle d'accès manquant dans RouteProcessor2 de Sushi a laissé les bots drainer 3,3 M$ en WETH aux utilisateurs avec approbations, avant le sauvetage.
Perte3.3MUSDVidage par burn public de SafeMoon
SafeMoon a perdu 8,9 M$ de son pool WBNB après qu'une mise à niveau a laissé burn() public, permettant de brûler les SFM des autres et drainer WBNB.
Perte8.9MUSDExploit d'Euler Finance
Un health check manquant sur donateToReserves d'Euler a permis de créer une position auto-liquidable et de partir avec 197 M$ — majoritairement rendus.
Perte197.0MUSDSmart Contract Service de Hedera mainnet
Les pools de Hedera Hashgraph ont perdu ~515 K$ via un bug du décompileur Smart Contract Service ; Hedera a mis en pause le réseau.
Perte515.0KUSDAppel arbitraire selfSwap de Dexible
Les utilisateurs de Dexible ont perdu 2 M$ après que selfSwap a effectué des appels externes arbitraires avec des données fournies par l'utilisateur.
Perte2.0MUSD