Piratages Ethereum en 2023

~220 K$ drainés de HYPR Network après qu'une faille bridge/contrat a permis l'extraction de liquidité bridgée — petit échec de pont propre.

OKX DEX a perdu 2,7 M$ d'utilisateurs : une clé proxy-admin dépréciée compromise a mis à niveau le contrat vers une version balayant les approbations.

Une compromission opérateur a drainé 87 M$ du pont HECO plus 12 M$ des hot wallets HTX, frappant les deux plateformes de Justin Sun en 24 h.

54,7 M$ drainés de KyberSwap Elastic après qu'une erreur d'arrondi en liquidité concentrée a trompé les pools en reconnaissant le double de liquidité.

26 M$ drainés du market maker Kronos Research à Taipei après vol de clés API contrôlant les retraits programmatiques ; WOO a stoppé le trading.

Plus de 114 M$ balayés des hot wallets Ethereum et Tron de Poloniex après extraction des clés privées ; Justin Sun a promis le remboursement complet.

3,3 M$ du stablecoin R créés via un bug d'arrondi/mint de parts dans Raft, mais l'attaquant a raté l'encaissement, brûlant ~1 570 ETH. R s'est dépeggé.

640 K$ drainés aux utilisateurs Unibot via un bug d'approbation dans le nouveau contrat routeur du bot Telegram. Unibot a remboursé les utilisateurs affectés.

200 M$ drainés des hot wallets de Mixin Network après compromission du fournisseur cloud hébergeant la base centralisée — un réveil sur l'infrastructure.

2,7 M$ drainés des hot wallets de l'échange P2P Remitano en USDT, ANK, USDC et ETH via compromission de clé privée ; TTPs cohérents avec Lazarus.

Lazarus a drainé 54 M$ des hot wallets CoinEx sur Ethereum, Tron, BSC et 7 autres chaînes, réutilisant l'infrastructure du hack Stake.com précédent.

Stake.com a perdu 41 M$ de ses hot wallets sur Ethereum, BSC et Polygon en 90 min ; le FBI a formellement attribué le vol à Lazarus et listé 40 adresses.

Un attaquant a exploité une réentrance en lecture seule sur les rate providers des Boosted Pools Balancer après divulgation, drainant ~2,1 M$.

~1,3 M$ en péril sur Swerve Finance abandonné, fork Curve dormant dont la gouvernance peu active a laissé passer une proposition saisissant les fonds.

~2,6 M$ d'ETH bloqués ou en péril sur le pont Shibarium au lancement, après un contrat mal configuré et une surcharge de trafic rendant les fonds inaccessibles.

2,1 M$ drainés de Zunami Protocol après que ses prix zETH et UZD, dérivés de pools Curve manipulables, ont été gonflés par un attaquant flash-loan.

Un verrou de réentrance défectueux dans trois versions du compilateur Vyper a exposé plusieurs stablepools Curve à une attaque de réentrance classique.

Une compromission de clé privée a drainé 60 M$ des hot wallets d'AlphaPo sur Tron, Bitcoin et Ethereum. Le FBI a attribué la brèche au groupe Lazarus.

L'Omnipool ETH de Conic avait des gardes mais supposait que Curve v2 utilisait une adresse ETH spécifique. Un CurveLPOracleV2 l'a contourné, drainant 3,2 M$.

125 M$ drainés du pont Multichain un mois après l'arrestation du PDG Zhaojun ; l'équipe avait perdu l'accès MPC et les preuves pointaient un coup interne.

800 K$ drainés de Sturdy Finance via une réentrance lecture-seule Balancer qui a mal valorisé la collatéral LP B-stETH-STABLE. Fonds rendus après négociation.

Une opération Lazarus a ciblé le logiciel Atomic Wallet, drainant 100 M$+ d'environ 5 500 utilisateurs et contournant les garanties de self-custody.

La DAO Tornado Cash détournée : l'attaquant a selfdestruct une proposition adoptée et redéployé du code malveillant à la même adresse, saisissant 1,2M votes.

Le troisième incident de DEUS DAO a drainé 6,5 M$ sur BNB, Arbitrum et Ethereum via une faille dans la logique burnFrom/approval de DEI.

Une seule compromission de clé de signature a balayé 23 M$ en ETH, QNT, GALA, SHIB, HOT et MATIC du hot wallet de Bitrue, sous les 5 % des soldes.

Un contrat iEarn Yearn legacy mal configuré pointant vers le mauvais jeton Fulcrum a minté 1,2Q yUSDT et drainé 11 M$ d'Aave v1 sans alerter personne.

Un contrôle d'accès manquant dans RouteProcessor2 de Sushi a laissé les bots drainer 3,3 M$ en WETH aux utilisateurs avec approbations, avant le sauvetage.

Un health check manquant sur donateToReserves d'Euler a permis de créer une position auto-liquidable et de partir avec 197 M$ — majoritairement rendus.

Les utilisateurs de Dexible ont perdu 2 M$ après que selfSwap a effectué des appels externes arbitraires avec des données fournies par l'utilisateur.

3 M$ drainés d'Orion sur Ethereum/BSC : doSwapThroughOrionPool acceptait des chemins non validés sans garde de réentrance ; un faux jeton a inflé les soldes.