Attaques Bug de smart contract en 2025

Une mise à jour d'oracle a créé un décalage 18-vs-8 décimales dans les anciens vaults Ribbon DOV d'Aevo, drainant 2,7 M$. Aevo a fermé les vaults peu après.

USPD, stablecoin décentralisé récent, a perdu ~1 M$ via une faille mint/collatéral qui a permis de minter sans backing suffisant, dépeguant brièvement le jeton.

Le pool StableSwap yETH de Yearn a minté 235 septillions de yETH depuis 16 wei : un retrait avait remis l'offre à zéro mais laissé les soldes virtuels en cache.

Un défaut de contrôle d'accès et une erreur d'arrondi dans l'invariant de Balancer v2 ont drainé ~120 M$, plus grand exploit DeFi de 2025.

Une erreur d'arrondi dans la fonction withdraw de Bunni DEX a drainé 8,4 M$ sur Ethereum et Unichain. Le protocole a fermé.

Odin.fun, une launchpad memecoin Bitcoin, a perdu ~7 M$ quand des attaquants ont manipulé la comptabilité de liquidité de la courbe pour drainer les pools BTC.

Une faille de distribution frais/récompenses a permis d'extraire à répétition de la valeur des pools BetterBank sur PulseChain, drainant 5 M$.

Une faille du mint de tokens de crédit de Credix sur BNB Chain a permis de minter et racheter contre des positions fabriquées, drainant 4,5 M$.

Une faille proche d'une réentrance dans le pricing GLP de GMX v1 a permis de drainer ~42 M$, restitués en quelques jours contre un bounty white-hat.

9,8 M$ drainés de Resupply en moins de 90 minutes quand un prêt flash de 4 000 $ a exploité un coffre wstUSR de 2 heures via une attaque par donation ERC-4626.

Une faille de vérification d'auto-listing a drainé 8,37 M$ (jusqu'à 16,2 M$ avec les tokens ALEX) d'ALEX Protocol sur Stacks, second incident majeur en 13 mois.

Un attaquant a drainé 12 M$ (3 761 wstETH) de Cork Protocol en créant un marché référençant le DS d'un autre, via un hook Uniswap v4 malveillant.

Une faille du garde-overflow dans le plus grand DEX de Sui a permis d'injecter une position de liquidité minuscule lue comme gigantesque, drainant 223 M$.

2,15 M$ drainés de MobiusDAO sur BNB Chain après un double scaling 10^18 créant 9,73 quadrillions de MBU à partir de 0,01 BNB ; blanchi via Tornado Cash.

355 K$ (toute la TVL) drainés du protocole SIR.trading via un mauvais usage du stockage transitoire qui a usurpé le check d'appelant uniswapV3SwapCallback.

Un attaquant a drainé 13 M$ (6 260 ETH) des Cauldrons GM d'Abracadabra via un dépôt GMX en échec, une auto-liquidation et un réemprunt du collatéral orphelin.

Un bug d'un ancien resolver Fusion v1 a permis à un attaquant de forger des calldata pour drainer 5 M$ des TrustedVolumes 1inch. Protocole et fonds intacts.

ZeroLend a perdu ~371 K$ : une attaque classique d'inflation de parts par donation sur un marché fraîchement listé qui manquait d'un dépôt initial protecteur.

9,5 M$ drainés de zkLend sur Starknet via un bug d'arrondi dans sa lib safeMath ; des arrondis répétés ont gonflé raw_balance jusqu'à vider les pools.

The Idols NFT a perdu ~324 K$ : une faille comptable de récompenses de staking a permis à un attaquant de réclamer des récompenses bien au-delà du dû.