Drain du protocole de confidentialité Hinkal
Un attaquant a drainé environ 820 000 dollars en USDC de Hinkal — presque toute sa TVL multi-chaînes — via des dépôts 'proofless' non vérifiés, puis les a blanchis via Tornado Cash et THORChain.
Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.
Un attaquant a drainé environ 820 000 dollars en USDC de Hinkal — presque toute sa TVL multi-chaînes — via des dépôts 'proofless' non vérifiés, puis les a blanchis via Tornado Cash et THORChain.
Une faille de burn d'OLPC a créé un décalage de réserves sur un pool PancakeSwap V2 ; l'attaquant a racheté le LABUBU à prix faussé et drainé environ 1,1 M$.
Un attaquant a émis un jeton EVIL sans valeur pour fausser la comptabilité des pools de liquidité concentrée de mySwap sur Starknet et a drainé environ 305 000 $ de fonds LP résiduels.
Une faille dans la logique des transferts IBC a permis de siphonner environ 600 000 $ d'actifs blindés du MASP de Namada, masqué par un indexeur obsolète.
Un transferFrom de valeur nulle a contourné l'allowance et déclenché un mint de récompense non autorisé vers la paire PancakeSwap, drainant environ 378 000 $ de Little Boy Plus.
Un attaquant a drainé environ 2,16 M$ du Private Rollup Bridge obsolète d'Aztec via un escapeHatch non protégé et des données de preuve falsifiées — deuxième hack d'Aztec en une semaine.
Un return manquant dans la fonction _transfer du token DIP a permis à un attaquant de désynchroniser ses réserves PancakeSwap via skim/sync et de drainer environ 111 000 $ en USDC.
Un bug d'arrondi dans un vault Thetanuts obsolète a permis de frapper des tokens d'option gratuitement et de drainer environ 2,1 M$ sur Ethereum ; les white-hats ont récupéré près de 2 M$.
Un attaquant a drainé environ 2,1 M$ du pont obsolète Aztec Connect en exploitant une validation de preuve incomplète pour retirer des soldes non couverts de contrats immuables.
Un attaquant a drainé environ 1,34 M$ de cinq pools AMM V3 inactifs de Raydium sur Solana en frappant un faux token LP qui a contourné les contrôles de retrait du programme obsolète.
Une faille de vérification de signature du Zodiac Delay Module a permis de contourner le délai de Gnosis Pay et de drainer environ 1,5 million de dollars de 5 281 Safes ; Gnosis a remboursé 100 %.
Une faille de contrôle d'accès (confused deputy) dans le module tiers SquidRouterModule a permis de drainer ~3,8 M$ de 88 portefeuilles Gnosis Safe sur Ethereum, Base et Arbitrum.
L'agrégateur cross-chain Transit Finance a perdu ~1,88 M$ en DAI le 13 mai 2026 — un second incident à plusieurs millions après la brèche d'approbation proxy d'octobre 2022.
Rhea Finance sur NEAR a perdu 18,4 M$ après une préparation de deux jours avec faux jetons, 423 wallets et 8 pools Ref exploitant une faille de slippage.
Le vault BRO de Solv a perdu 2,73 M$ : un bug double-mint ERC-3525 a transformé 135 BRO en ~567M BRO en 22 dépôts, puis échangés contre 38 SolvBTC.
SagaEVM a perdu 7 M$ en 11 minutes quand un bug Ethermint a permis à des messages forgés de contourner la validation, créant des Saga Dollar (D) sans garantie.
TMXTribe, un protocole de staking, a perdu ~1,4 M$ : une faille comptable de distribution a laissé un attaquant sur-réclamer à répétition, vidant la réserve.
Truebit a perdu 26,4 M$ : un overflow d'entier dans un contrat bonding curve de 5 ans a laissé l'attaquant minter TRU presque gratis et revendre pour 8 500 ETH.