2026L'année en brèches

Les coffres perp de Wasabi sur Ethereum, Base, Berachain et Blast ont perdu 5 M$ : un EOA deployer compromis avec ADMIN_ROLE unique a permis des upgrades UUPS.

Les coffres Sui de Volo ont perdu 3,5 M$ après compromission de clé admin par ingénierie sociale. L'équipe a gelé 500 K$ en 30 min et bloqué 2,1 M$ WBTC.

292 M$ de rsETH non backé minté après exploitation du setup LayerZero 1-sur-1 DVN de KelpDAO ; le plus grand hack DeFi 2026, TVL en chute de 13 Md$.

Rhea Finance sur NEAR a perdu 18,4 M$ après une préparation de deux jours avec faux jetons, 423 wallets et 8 pools Ref exploitant une faille de slippage.

1 Md de DOT bridgés mintés sur Hyperbridge après une vérification de bornes manquante dans VerifyProof ; perte réalisée ~2,5 M$.

Des ingénieurs sociaux de DPRK ont piégé le Security Council de Drift en blind-signant des transactions à nonce durable, drainant 285 M$ sur Solana.

Resolv Labs a perdu 25 M$ après compromission de ses clés AWS KMS ; un dépôt de 100 K$ USDC a créé 50 M USR et dépeggé le stablecoin de 74% en 17 minutes.

Le vault BRO de Solv a perdu 2,73 M$ : un bug double-mint ERC-3525 a transformé 135 BRO en ~567M BRO en 22 dépôts, puis échangés contre 38 SolvBTC.

Un utilisateur Venus Protocol a été phishé pour déléguer son compte, perdant ~3,7 M$ de sa position. Les contrats Venus n'ont jamais été compromis.

4,3 M$ drainés du pont ioTube d'IoTeX via une compromission de clé validateur ; mint de 111M CIOTX et 9,3M CCS. IoTeX promet compensation à 100 %.

~1,78 M$ drainés de Moonwell sur Base : un marché nouvellement listé utilisait un flux de prix avec incohérence de décimales, mal valorisant la garantie.

Le pool de prêt Stellar de YieldBlox a perdu 10,2 M$ : une seule vente USTRY/USDC à 501x le marché a défini le prix Reflector dans une fenêtre calme de 15 min.

Step Finance a perdu 261 854 SOL (27 M$) depuis ses portefeuilles trésor et frais. STEP a chuté de 96 %. Step, SolanaFloor et Remora ont tous fermé.

4,13 M$ extraits du pool Curve DUSD/USDC de Makina via manipulation d'oracle par prêt flash ; négociation white-hat a récupéré 89% en une semaine.

SagaEVM a perdu 7 M$ en 11 minutes quand un bug Ethermint a permis à des messages forgés de contourner la validation, créant des Saga Dollar (D) sans garantie.

TMXTribe, un protocole de staking, a perdu ~1,4 M$ : une faille comptable de distribution a laissé un attaquant sur-réclamer à répétition, vidant la réserve.

Truebit a perdu 26,4 M$ : un overflow d'entier dans un contrat bonding curve de 5 ans a laissé l'attaquant minter TRU presque gratis et revendre pour 8 500 ETH.