Piratages Ethereum en 2024

13,7 M$ drainés des hot wallets de M2 Exchange basé aux Émirats en BTC, ETH et Solana ; identifié, contenu et fonds clients restaurés en seulement 16 minutes.

Tapioca DAO a perdu 4,65 M$ après qu'un membre Discord a été manipulé pour connecter un hardware wallet ; l'attaquant a saisi TAP/USDO. 2,7 M$ récupérés.

Une compromission multi-chaînes de style RPDC a balayé 52 M$ des hot wallets BingX sur Ethereum, BNB Chain, Avalanche, Optimism et Polygon.

Une faille d'oracle de messages Telegram a drainé 3 M$ chez 11 utilisateurs Banana Gun via transferts manuels. L'équipe a remboursé sur trésorerie.

~20 M$ raflés du plus grand exchange crypto d'Indonésie sur plusieurs chaînes dans une compromission de hot wallets coordonnée durant la série 2024.

~27 M$ drainés de Penpie : une faille de réentrance dans le plugin Pendle a permis d'enregistrer un marché malveillant et retirer des récompenses peggées.

Une baleine crypto a perdu 55,47 M$ en DAI après avoir signé une tx malveillante sur une copie phishing de la page DeFi Saver propulsée par Inferno Drainer.

Un bot MEV white-hat a drainé 12 M$ du pont Ronin via une faille d'init dans du code mort laissant minimumVoteWeight à zéro. Tous fonds restitués pour 500 K$.

WazirX a perdu 234,9 M$ d'un Gnosis Safe 4/6 chez Liminal : les attaquants ont exploité une différence entre l'UI Liminal et les calldata réellement signées.

11,6 M$ drainés d'utilisateurs ayant accordé des approvals infinies à LI.FI ; une facette fraîchement déployée sautait une validation clé.

~55 M$ drainés des hot wallets BtcTurk, Binance gelant environ 5,3 M$ des fonds volés en vol — la plus grande compromission d'échange turc à ce jour.

Une faille dans le contrat opérateur de Holograph a permis de minter 1 Md de tokens HLG, 14,4 M$ nominal. HLG a chuté de 80 % en neuf heures.

UwULend a perdu 19,4 M$ après manipulation de 5 oracles sUSDe sur 11 via des swaps Curve, empruntant à 0,99 $ puis liquidant à 1,03 $. Suivi de 3,7 M$.

22 M$ (158 BTC, 2 161 ETH, plus LTC/BCH) drainés de Lykke via une compromission de clé privée que l'échange britannique a tenté de cacher ; attribué à Lazarus.

Un attaquant a pris le contrôle d'un rôle MINTER dormant pour minter 5 Md GALA (216 M$), vendu 21,8 M$ avant d'être blacklisté ; 4,4 Md tokens bloqués.

1,9 M$ drainés de Pike Finance : des contrats modifiables non initialisés ont permis à un attaquant de prendre la propriété et drainer les actifs CCIP.

ZKasino a pris 10 515 ETH (33 M$) à 8 000+ utilisateurs sur une promesse de retour ETH 1:1, puis a converti en ZKAS et staké sur Lido 15 mois. Fondateur arrêté.

Le vesting Hedgey Finance a perdu 44,7 M$ : une validation manquante a permis de créer des campagnes dont le claimLockup approuvait des transferts arbitraires.

11 M$ drainés de l'assistant de migration Trove de Prisma : l'attaquant a contourné migrate() et appelé flashloan() directement, exigeant des excuses.

Un attaquant a acheté une petite part CGT, exploité une faille de fork MakerDAO pour amplifier son pouvoir de vote, puis minté 1 Md de CGT (~16 M$) sur Curio.

2,1 M$ drainés de l'agrégateur DEX Unizen via une vulnérabilité d'appel externe non sécurisé dans une mise à niveau récente touchant les utilisateurs approuvés.

6,4 M$ drainés via approbations illimitées au contrat Chamber de Seneca, sans fonction pause. L'attaquant a rendu 80 % contre une prime de 20 %.

Une clé admin volée a permis à l'attaquant de s'ajouter comme minter et produire 1,79 Md PLA en deux frappes — nominal 290 M$, seulement 32 M$ encaissés.

Un bug d'arrondi dans la comptabilité des Cauldrons d'Abracadabra a permis de drainer 6,5 M$ (2 740 ETH + 2,2 M MIM) en remboursant les dettes d'autrui.

3,3 M$ drainés à des utilisateurs de l'agrégateur Socket/Bungee via une route SocketGateway non validée, qui appelait transferFrom sur les wallets approuvés.

~82 M$ drainés du pont cross-chain Orbit Chain le soir du Nouvel An après compromission de sept des dix signataires multi-sig ; pertes sur Ethereum et Klaytn.