Piratages Arbitrum en 2024

53 M$ drainés du multi-sig 3-de-11 de Radiant : un malware macOS a frappé trois signataires ; l'UI Safe affichait des tx propres pendant la signature.

DeltaPrime a perdu 6 M$ sur Arbitrum après l'extraction d'une clé unique ; l'équipe utilisait un multi-sig sur Avalanche. ZachXBT a relié à Lazarus.

11,6 M$ drainés d'utilisateurs ayant accordé des approvals infinies à LI.FI ; une facette fraîchement déployée sautait une validation clé.

1,9 M$ drainés de Pike Finance : des contrats modifiables non initialisés ont permis à un attaquant de prendre la propriété et drainer les actifs CCIP.

Le vesting Hedgey Finance a perdu 44,7 M$ : une validation manquante a permis de créer des campagnes dont le claimLockup approuvait des transferts arbitraires.

WOOFi Swap sur Arbitrum a perdu 8,75 M$ : l'oracle Chainlink de WOO n'était pas configuré, donc le sPMM acceptait tout prix manipulé poussé par l'attaquant.

6,4 M$ drainés via approbations illimitées au contrat Chamber de Seneca, sans fonction pause. L'attaquant a rendu 80 % contre une prime de 20 %.

Orange Finance sur Arbitrum a perdu ~844 K$ après compromission de sa clé admin, utilisée pour altérer les stratégies et retirer les positions Uniswap v3.

Gamma Strategies sur Arbitrum a perdu 6,1 M$ : une faible vérification de prix a permis un dépôt à ratio déséquilibré et un retrait disproportionné.