Attaques Bug de smart contract en 2024

11,6 M$ drainés d'utilisateurs ayant accordé des approvals infinies à LI.FI ; une facette fraîchement déployée sautait une validation clé.

Une faille dans le contrat opérateur de Holograph a permis de minter 1 Md de tokens HLG, 14,4 M$ nominal. HLG a chuté de 80 % en neuf heures.

Les pools CPMM de Velocore sur zkSync et Linea ont perdu 6,8 M$ : un overflow du multiplicateur de frais a permis de minter une énorme offre LP via un retrait.

Sonne Finance a perdu 20 M$ sur Optimism via une 'donation attack', exploit connu des forks Compound v2 visant l'écart entre déploiement et amorçage.

1,9 M$ drainés de Pike Finance : des contrats modifiables non initialisés ont permis à un attaquant de prendre la propriété et drainer les actifs CCIP.

Le vesting Hedgey Finance a perdu 44,7 M$ : une validation manquante a permis de créer des campagnes dont le claimLockup approuvait des transferts arbitraires.

4,8 M$ drainés de Super Sushi Samurai sur Blast : un bug de transfert doublait le solde lors d'un self-transfer. Un white-hat avait vu le bug en premier.

2,1 M$ drainés de l'agrégateur DEX Unizen via une vulnérabilité d'appel externe non sécurisé dans une mise à niveau récente touchant les utilisateurs approuvés.

6,4 M$ drainés via approbations illimitées au contrat Chamber de Seneca, sans fonction pause. L'attaquant a rendu 80 % contre une prime de 20 %.

3,3 M$ drainés à des utilisateurs de l'agrégateur Socket/Bungee via une route SocketGateway non validée, qui appelait transferFrom sur les wallets approuvés.