2024L'année en brèches

Une réentrance dans le chemin withdraw du Rebalancer Clober sur Base a permis de réentrer avant la fixation comptable LP, drainant 500 K$.

8,7 M$ drainés de Polter Finance sur Fantom après qu'un prêt flash a gonflé l'oracle BOO de SpookySwap à 1,37 billion $ par jeton. Polter a fermé.

13,7 M$ drainés des hot wallets de M2 Exchange basé aux Émirats en BTC, ETH et Solana ; identifié, contenu et fonds clients restaurés en seulement 16 minutes.

Tapioca DAO a perdu 4,65 M$ après qu'un membre Discord a été manipulé pour connecter un hardware wallet ; l'attaquant a saisi TAP/USDO. 2,7 M$ récupérés.

53 M$ drainés du multi-sig 3-de-11 de Radiant : un malware macOS a frappé trois signataires ; l'UI Safe affichait des tx propres pendant la signature.

Une compromission multi-chaînes de style RPDC a balayé 52 M$ des hot wallets BingX sur Ethereum, BNB Chain, Avalanche, Optimism et Polygon.

Une faille d'oracle de messages Telegram a drainé 3 M$ chez 11 utilisateurs Banana Gun via transferts manuels. L'équipe a remboursé sur trésorerie.

DeltaPrime a perdu 6 M$ sur Arbitrum après l'extraction d'une clé unique ; l'équipe utilisait un multi-sig sur Avalanche. ZachXBT a relié à Lazarus.

~20 M$ raflés du plus grand exchange crypto d'Indonésie sur plusieurs chaînes dans une compromission de hot wallets coordonnée durant la série 2024.

~27 M$ drainés de Penpie : une faille de réentrance dans le plugin Pendle a permis d'enregistrer un marché malveillant et retirer des récompenses peggées.

Une baleine crypto a perdu 55,47 M$ en DAI après avoir signé une tx malveillante sur une copie phishing de la page DeFi Saver propulsée par Inferno Drainer.

Un bot MEV white-hat a drainé 12 M$ du pont Ronin via une faille d'init dans du code mort laissant minimumVoteWeight à zéro. Tous fonds restitués pour 500 K$.

Astroport sur Terra a perdu 6,4 M$ via une réentrance d'IBC hooks corrigée en avril puis réintroduite en juin. ASTRO a chuté de 60 %.

WazirX a perdu 234,9 M$ d'un Gnosis Safe 4/6 chez Liminal : les attaquants ont exploité une différence entre l'UI Liminal et les calldata réellement signées.

11,6 M$ drainés d'utilisateurs ayant accordé des approvals infinies à LI.FI ; une facette fraîchement déployée sautait une validation clé.

Un package PyPI malveillant (bittensor 6.12.2) a exfiltré les coldkeys et volé ~32 000 TAO (8 M$). Opentensor a firewall les validateurs en 35 min.

~55 M$ drainés des hot wallets BtcTurk, Binance gelant environ 5,3 M$ des fonds volés en vol — la plus grande compromission d'échange turc à ce jour.

Une faille dans le contrat opérateur de Holograph a permis de minter 1 Md de tokens HLG, 14,4 M$ nominal. HLG a chuté de 80 % en neuf heures.

UwULend a perdu 19,4 M$ après manipulation de 5 oracles sUSDe sur 11 via des swaps Curve, empruntant à 0,99 $ puis liquidant à 1,03 $. Suivi de 3,7 M$.

22 M$ (158 BTC, 2 161 ETH, plus LTC/BCH) drainés de Lykke via une compromission de clé privée que l'échange britannique a tenté de cacher ; attribué à Lazarus.

Les pools CPMM de Velocore sur zkSync et Linea ont perdu 6,8 M$ : un overflow du multiplicateur de frais a permis de minter une énorme offre LP via un retrait.

Des opérateurs DPRK ont compromis un développeur du vendeur de wallets Ginco via une fausse offre LinkedIn, drainant 4 502,9 BTC (305 M$) de DMM Bitcoin.

Un attaquant a pris le contrôle d'un rôle MINTER dormant pour minter 5 Md GALA (216 M$), vendu 21,8 M$ avant d'être blacklisté ; 4,4 Md tokens bloqués.

Le groupe Lazarus (RPDC) a drainé 4,3 M$ du pont inter-chaînes Stacks d'ALEX Lab via une faille de vérification, retracée par le blanchiment on-chain.

Sonne Finance a perdu 20 M$ sur Optimism via une 'donation attack', exploit connu des forks Compound v2 visant l'écart entre déploiement et amorçage.

1,9 M$ drainés de Pike Finance : des contrats modifiables non initialisés ont permis à un attaquant de prendre la propriété et drainer les actifs CCIP.

ZKasino a pris 10 515 ETH (33 M$) à 8 000+ utilisateurs sur une promesse de retour ETH 1:1, puis a converti en ZKAS et staké sur Lido 15 mois. Fondateur arrêté.

Le vesting Hedgey Finance a perdu 44,7 M$ : une validation manquante a permis de créer des campagnes dont le claimLockup approuvait des transferts arbitraires.

Grand Base, un projet RWA sur Base, a perdu 2 M$ après compromission/abus de la clé deployer ; l'attaquant a minté du GB illimité et drainé le pool.

11 M$ drainés de l'assistant de migration Trove de Prisma : l'attaquant a contourné migrate() et appelé flashloan() directement, exigeant des excuses.

Le jeu NFT Blast Munchables a perdu 17 413 ETH (62,8 M$) à l'un de ses développeurs, un opérateur nord-coréen probable. Tous les fonds ont été restitués.

Un attaquant a acheté une petite part CGT, exploité une faille de fork MakerDAO pour amplifier son pouvoir de vote, puis minté 1 Md de CGT (~16 M$) sur Curio.

4,8 M$ drainés de Super Sushi Samurai sur Blast : un bug de transfert doublait le solde lors d'un self-transfer. Un white-hat avait vu le bug en premier.

2,1 M$ drainés de l'agrégateur DEX Unizen via une vulnérabilité d'appel externe non sécurisé dans une mise à niveau récente touchant les utilisateurs approuvés.

WOOFi Swap sur Arbitrum a perdu 8,75 M$ : l'oracle Chainlink de WOO n'était pas configuré, donc le sPMM acceptait tout prix manipulé poussé par l'attaquant.

6,4 M$ drainés via approbations illimitées au contrat Chamber de Seneca, sans fonction pause. L'attaquant a rendu 80 % contre une prime de 20 %.

Une clé admin volée a permis à l'attaquant de s'ajouter comme minter et produire 1,79 Md PLA en deux frappes — nominal 290 M$, seulement 32 M$ encaissés.

Un bug d'arrondi dans la comptabilité des Cauldrons d'Abracadabra a permis de drainer 6,5 M$ (2 740 ETH + 2,2 M MIM) en remboursant les dettes d'autrui.

Orange Finance sur Arbitrum a perdu ~844 K$ après compromission de sa clé admin, utilisée pour altérer les stratégies et retirer les positions Uniswap v3.

3,3 M$ drainés à des utilisateurs de l'agrégateur Socket/Bungee via une route SocketGateway non validée, qui appelait transferFrom sur les wallets approuvés.

Gamma Strategies sur Arbitrum a perdu 6,1 M$ : une faible vérification de prix a permis un dépôt à ratio déséquilibré et un retrait disproportionné.

~82 M$ drainés du pont cross-chain Orbit Chain le soir du Nouvel An après compromission de sept des dix signataires multi-sig ; pertes sur Ethereum et Klaytn.