Prise de contrôle de la gouvernance de BonkDAO
Un attaquant a dépensé environ 4 M$ pour acheter discrètement des BONK et capter le vote de BonkDAO, puis a fait passer une proposition Realms malveillante qui a drainé près de 20 M$ de la trésorerie.
Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.
Un attaquant a dépensé environ 4 M$ pour acheter discrètement des BONK et capter le vote de BonkDAO, puis a fait passer une proposition Realms malveillante qui a drainé près de 20 M$ de la trésorerie.
Un attaquant muni d'un flash loan a manipulé la comptabilité des parts du vault USDC Lazy Summer de Summer.fi, rachetant des actifs gonflés pour drainer environ 6 millions de dollars sur Ethereum.
Un attaquant a drainé environ 820 000 dollars en USDC de Hinkal — presque toute sa TVL multi-chaînes — via des dépôts 'proofless' non vérifiés, puis les a blanchis via Tornado Cash et THORChain.
Un attaquant via flash loan a gonflé ~78x le taux de change interne du wGOOGLx sur Edel Finance, empruntant contre une garantie fictive et laissant ~403 000 dollars de créance douteuse.
Un prestataire tiers compromis a injecté un script malveillant dans le frontend de Polymarket, drainant environ 2,94 M$ de PUSD des portefeuilles des utilisateurs via du phishing.
Un aléa prévisible dans le logiciel de portefeuilles Cardano de SecondFi a permis de drainer environ 2,4 M USD en ADA de 178 portefeuilles, avec jusqu'à 20 M USD de plus en jeu.
Une clé de signature SGX divulguée dans le GitHub public de Taiko a permis de forger des preuves de bridge et de drainer environ 1,7 M$ du L1 Bridge et de l'ERC20Vault sur Ethereum.
Une faille de burn d'OLPC a créé un décalage de réserves sur un pool PancakeSwap V2 ; l'attaquant a racheté le LABUBU à prix faussé et drainé environ 1,1 M$.
Un honeypot counter-MEV a piégé le bot de sandwich le plus actif d'Ethereum, jaredfromsubway.eth, l'amenant à approuver 66 contrats de faux tokens, drainant environ 7,5 M$ en WETH, USDC et USDT.
Un attaquant a émis un jeton EVIL sans valeur pour fausser la comptabilité des pools de liquidité concentrée de mySwap sur Starknet et a drainé environ 305 000 $ de fonds LP résiduels.
Une faille dans la logique des transferts IBC a permis de siphonner environ 600 000 $ d'actifs blindés du MASP de Namada, masqué par un indexeur obsolète.
Un transferFrom de valeur nulle a contourné l'allowance et déclenché un mint de récompense non autorisé vers la paire PancakeSwap, drainant environ 378 000 $ de Little Boy Plus.
Un attaquant a drainé environ 2,16 M$ du Private Rollup Bridge obsolète d'Aztec via un escapeHatch non protégé et des données de preuve falsifiées — deuxième hack d'Aztec en une semaine.
Un return manquant dans la fonction _transfer du token DIP a permis à un attaquant de désynchroniser ses réserves PancakeSwap via skim/sync et de drainer environ 111 000 $ en USDC.
Un bug d'arrondi dans un vault Thetanuts obsolète a permis de frapper des tokens d'option gratuitement et de drainer environ 2,1 M$ sur Ethereum ; les white-hats ont récupéré près de 2 M$.
Un attaquant a drainé environ 2,1 M$ du pont obsolète Aztec Connect en exploitant une validation de preuve incomplète pour retirer des soldes non couverts de contrats immuables.
Un attaquant a drainé environ 1,34 M$ de cinq pools AMM V3 inactifs de Raydium sur Solana en frappant un faux token LP qui a contourné les contrôles de retrait du programme obsolète.
Un contrat de pont défaillant a permis de forger des paquets IBC et de frapper des saTokens sans contrepartie, drainant environ 4,67 M$ d'actifs Axelar.
Une clé compromise de la Humanity Foundation a permis de vider des wallets et de frapper 100 M de tokens H sur BNB Chain, dérobant environ 32 M$ et faisant chuter $H de près de 90 %.
Un attaquant majoritaire en TOP a exécuté une proposition Aragon en une seule transaction, émis ~10 milliards de jetons et drainé 944 WETH d'un pool Balancer V1.
Une faille de validation de preuve dans le pont cross-chain de Syscoin a permis de frapper environ 5 milliards de SYS — plus de cinq fois l'offre — pour près de 10 M$.
Une faille de vérification de signature du Zodiac Delay Module a permis de contourner le délai de Gnosis Pay et de drainer environ 1,5 million de dollars de 5 281 Safes ; Gnosis a remboursé 100 %.
Un attaquant contrôlant les droits de mint a créé 99 millions de tokens TSR sur BNB Chain et les a liquidés pour environ 2,5 millions de dollars, faisant chuter le token de près de 99%.
Un attaquant a drainé environ 480 000 USD du vault afiUSD d'AFI Protocol sur Ethereum et a blanchi les fonds via Tornado Cash ; la cause racine n'a pas été divulguée.
Un attaquant a soumis de fausses VAA de gardiens au TokenBridge d'Alephium (un fork de Wormhole), vidant environ 815 000 dollars d'actifs en garde depuis Ethereum et BNB Chain en sept minutes environ.
Gravity Bridge, le pont cross-chain Cosmos-Ethereum, a été vidé d'environ 5,4 millions de dollars après la compromission apparente des clés de signature de ses validateurs.
Un attaquant contrôlant un ancien verrou de liquidité DxSale sur BNB Chain a vidé environ 7,3 M$ de BNB de plus de 1 400 pools verrouillés, sur fond de soupçons d'implication interne.
Une faille de contrôle d'accès (confused deputy) dans le module tiers SquidRouterModule a permis de drainer ~3,8 M$ de 88 portefeuilles Gnosis Safe sur Ethereum, Base et Arbitrum.
Compromission de clé admin sur Echo Protocol : 1 000 eBTC non backés (~76,7 M$ nominaux) mintés ; perte réelle ~821 K$ via Tornado Cash.
Le pont Verus-Ethereum a payé 11,58 M$ après un export Verus de seulement 0,02 VRSC — aucune vérification de liaison de valeur source/destination.
~10,8 M$ drainés des coffres Asgard de THORChain sur 9 chaînes via une faille présumée GG20 (TSS) exploitée par un opérateur de nœud malveillant.
L'agrégateur cross-chain Transit Finance a perdu ~1,88 M$ en DAI le 13 mai 2026 — un second incident à plusieurs millions après la brèche d'approbation proxy d'octobre 2022.
Les coffres perp de Wasabi sur Ethereum, Base, Berachain et Blast ont perdu 5 M$ : un EOA deployer compromis avec ADMIN_ROLE unique a permis des upgrades UUPS.
Les coffres Sui de Volo ont perdu 3,5 M$ après compromission de clé admin par ingénierie sociale. L'équipe a gelé 500 K$ en 30 min et bloqué 2,1 M$ WBTC.
292 M$ de rsETH non backé minté après exploitation du setup LayerZero 1-sur-1 DVN de KelpDAO ; le plus grand hack DeFi 2026, TVL en chute de 13 Md$.
Rhea Finance sur NEAR a perdu 18,4 M$ après une préparation de deux jours avec faux jetons, 423 wallets et 8 pools Ref exploitant une faille de slippage.
1 Md de DOT bridgés mintés sur Hyperbridge après une vérification de bornes manquante dans VerifyProof ; perte réalisée ~2,5 M$.
Des ingénieurs sociaux de DPRK ont piégé le Security Council de Drift en blind-signant des transactions à nonce durable, drainant 285 M$ sur Solana.
Resolv Labs a perdu 25 M$ après compromission de ses clés AWS KMS ; un dépôt de 100 K$ USDC a créé 50 M USR et dépeggé le stablecoin de 74% en 17 minutes.
Le vault BRO de Solv a perdu 2,73 M$ : un bug double-mint ERC-3525 a transformé 135 BRO en ~567M BRO en 22 dépôts, puis échangés contre 38 SolvBTC.
Un utilisateur Venus Protocol a été phishé pour déléguer son compte, perdant ~3,7 M$ de sa position. Les contrats Venus n'ont jamais été compromis.
4,3 M$ drainés du pont ioTube d'IoTeX via une compromission de clé validateur ; mint de 111M CIOTX et 9,3M CCS. IoTeX promet compensation à 100 %.
~1,78 M$ drainés de Moonwell sur Base : un marché nouvellement listé utilisait un flux de prix avec incohérence de décimales, mal valorisant la garantie.
Le pool de prêt Stellar de YieldBlox a perdu 10,2 M$ : une seule vente USTRY/USDC à 501x le marché a défini le prix Reflector dans une fenêtre calme de 15 min.
Step Finance a perdu 261 854 SOL (27 M$) depuis ses portefeuilles trésor et frais. STEP a chuté de 96 %. Step, SolanaFloor et Remora ont tous fermé.
4,13 M$ extraits du pool Curve DUSD/USDC de Makina via manipulation d'oracle par prêt flash ; négociation white-hat a récupéré 89% en une semaine.
SagaEVM a perdu 7 M$ en 11 minutes quand un bug Ethermint a permis à des messages forgés de contourner la validation, créant des Saga Dollar (D) sans garantie.
TMXTribe, un protocole de staking, a perdu ~1,4 M$ : une faille comptable de distribution a laissé un attaquant sur-réclamer à répétition, vidant la réserve.
Truebit a perdu 26,4 M$ : un overflow d'entier dans un contrat bonding curve de 5 ans a laissé l'attaquant minter TRU presque gratis et revendre pour 8 500 ETH.