Piratages Ethereum en 2025

Une mise à jour d'oracle a créé un décalage 18-vs-8 décimales dans les anciens vaults Ribbon DOV d'Aevo, drainant 2,7 M$. Aevo a fermé les vaults peu après.

USPD, stablecoin décentralisé récent, a perdu ~1 M$ via une faille mint/collatéral qui a permis de minter sans backing suffisant, dépeguant brièvement le jeton.

Le pool StableSwap yETH de Yearn a minté 235 septillions de yETH depuis 16 wei : un retrait avait remis l'offre à zéro mais laissé les soldes virtuels en cache.

Un vol probable de clé privée a donné aux attaquants le contrôle du contrat BSC de GANA Payment ; ils ont manipulé les taux et drainé 3,1 M$ via unstake.

Un défaut de contrôle d'accès et une erreur d'arrondi dans l'invariant de Balancer v2 ont drainé ~120 M$, plus grand exploit DeFi de 2025.

SBI Crypto, filiale minière de SBI Holdings, a perdu 24 M$ en BTC, ETH, LTC, DOGE et BCH. Non détecté pendant 7 jours, signalé par ZachXBT (motif Lazarus).

GriffinAI, projet crypto d'agents IA, a perdu ~3 M$ après qu'une faille bridge/mint a permis de minter des tokens GAIN non backés et de les dumper.

UXLINK, un protocole Web3 social, a perdu environ 41 M$ après que les attaquants ont compromis les clés multi-sig et exploité un delegatecall non restreint.

Une erreur d'arrondi dans la fonction withdraw de Bunni DEX a drainé 8,4 M$ sur Ethereum et Unichain. Le protocole a fermé.

Une compromission de hot wallet sur 7 chaînes a drainé 48 M$ chez BtcTurk, deuxième hack majeur en 14 mois. Le cold storage est resté intact.

Des attaquants ont drainé 44 M$ d'un compte de liquidité interne de CoinDCX pour réserves d'échange partenaire ; perte absorbée par la trésorerie.

Des attaquants ont compromis le backend BigONE et réécrit la logique de risque pour auto-approuver tout retrait, drainant 27 M$ sans exposer de clés.

9,8 M$ drainés de Resupply en moins de 90 minutes quand un prêt flash de 4 000 $ a exploité un coffre wstUSR de 2 heures via une attaque par donation ERC-4626.

Plus de 90 M$ drainés du plus grand échange iranien par Predatory Sparrow, puis brûlés vers des adresses avec messages anti-IRGC — destruction, pas profit.

Une faille de contrôle d'accès a drainé 3,76 M$ du Force Bridge de Nervos sur Ethereum et BNB Chain ; le butin a été routé via Tornado Cash et FixedFloat.

Un attaquant a drainé 12 M$ (3 761 wstETH) de Cork Protocol en créant un marché référençant le DS d'un autre, via un hook Uniswap v4 malveillant.

Une faille du garde-overflow dans le plus grand DEX de Sui a permis d'injecter une position de liquidité minuscule lue comme gigantesque, drainant 223 M$.

Zunami Protocol a perdu ~500 K$ dans un second incident, 2 ans après son exploit Curve 2023, à nouveau via tarification manipulable dans sa stratégie.

UPCX a perdu environ 70 M$ de son trésor après qu'un compte admin compromis a poussé une mise à niveau de contrat malveillante sur la plateforme de paiements.

355 K$ (toute la TVL) drainés du protocole SIR.trading via un mauvais usage du stockage transitoire qui a usurpé le check d'appelant uniswapV3SwapCallback.

8,4 M$ drainés de Zoth, un protocole de restaking RWA, après compromission de sa clé deployer utilisée pour pousser une implémentation proxy malveillante.

Un bug d'un ancien resolver Fusion v1 a permis à un attaquant de forger des calldata pour drainer 5 M$ des TrustedVolumes 1inch. Protocole et fonds intacts.

49,5 M$ drainés du vault Morpho MEVCapital USDC d'Infini par l'adresse qui a construit le contrat et a discrètement gardé l'autorité admin après lancement.

Du JavaScript malveillant injecté dans l'UI Safe{Wallet} a drainé 401 000 ETH (1,46 Md$) d'un transfert cold-wallet Bybit, plus grand vol crypto jamais.

~73 M$ drainés des hot wallets de Phemex sur 16 blockchains dans un balayage coordonné — premier piratage d'échange majeur de 2025, TTPs cohérents avec Lazarus.

The Idols NFT a perdu ~324 K$ : une faille comptable de récompenses de staking a permis à un attaquant de réclamer des récompenses bien au-delà du dû.