Penyerang memanfaatkan kelemahan desain pada fungsi swap() yang memungkinkan panggilan eksekutor sewenang-wenang, yang mengakibatkan pencurian dari pengguna yang telah memberikan persetujuan tanpa batas.

Kunci penandatangan validator yang diduga bocor dan pinjaman kilat memungkinkan penyerang memperoleh kekuatan voting eksklusif. Setelah menguasai validator, penyerang menggunakan dana jembatan di blok yang sama untuk membeli BONE, mendelegasikannya untuk kekuatan validator, menandatangani checkpoint yang curang, dan kemudian membayar kembali "pinjaman" tersebut dengan aset yang dicuri.

Penyerang menggunakan kunci privat yang telah disusupi dari akun administrator proxy untuk memperbarui kontrak pintar ke versi berbahaya. Kemudian, penyerang menggunakan versi berbahaya dari kontrak pintar tersebut untuk menguras saldo kontrak itu sendiri, serta dompet pengguna yang telah menyetujui kontrak pintar ini.

Akses tidak sah ke API Kiln, mitra staking SwissBorg, menyebabkan pencurian $41.5 juta dari program staking SOL Earn. Penyerang memanipulasi otoritas akun stake tanpa perlu konfirmasi multi-tanda tangan. Ini memungkinkan mereka untuk mentransfer otoritas secara diam-diam sambil tetap memegang peran Withdrawer, yang membantu mereka menghindari alat pemantauan standar yang berfokus pada peristiwa penarikan. Pelanggaran tersebut adalah eksploitasi API off-chain yang memberi penyerang kendali atas aset on-chain.

Seorang pengembang Nemo memperkenalkan fitur baru yang belum diaudit ke dalam basis kode setelah audit keamanan awal tetapi sebelum laporan revisi akhir selesai. Akibatnya, versi kontrak yang berisi kode yang belum diaudit ini diterapkan ke mainnet. Akar penyebab tata kelola adalah ketergantungan protokol pada alamat tanda tangan tunggal untuk pemutakhiran, yang gagal mencegah penerapan kode yang belum menjalani tinjauan keamanan menyeluruh. Selain itu, pengembang menerapkan versi kode yang berbeda dari yang dikonfirmasi oleh perusahaan audit. Seorang penyerang mengeksploitasi fungsi-fungsi yang belum diaudit ini untuk memanipulasi keadaan internal dan berhasil menguras sejumlah besar aset dari kumpulan likuiditas.

Para penyerang menggunakan klien Zoom berbahaya untuk mendapatkan hak istimewa pada mesin korban. Mereka memanfaatkan akses ini untuk mengelabui korban agar mengirimkan transaksi yang menyetujui penyerang sebagai delegasi Venus yang sah dari akun mereka, memungkinkan penyerang untuk meminjam dan menukarkan atas nama korban.

Penyerang mendapatkan akses ke dompet multisig dengan 32 juta token AIO. Dana tersebut dipindahkan dan ditukar dengan $2 juta.

Penyerang mengeksploitasi kerentanan dalam kontrak konektor, yang secara otomatis mengubah token penghasil hasil (seperti aUSDC) menjadi USDC selama penarikan. Menggunakan kelemahan ini, peretas mengeksekusi penarikan atas nama pengguna lain dan menyedot $427,000 USDC dari Aave.

Penyerang mengeksploitasi kurangnya validasi yang tepat untuk mencetak token FAVOR yang tidak aman. Penyerang menggunakan kontrak pintar palsu sebagai penyedia likuiditas (LP), kemudian mengeksekusi pertukaran massal untuk mendapatkan bonus signifikan yang dapat dikonversi menjadi uang sungguhan. Auditor, zokyo, sebelumnya telah melaporkan kerentanan yang terkait langsung dengan peretasan ini. Namun, karena analisis mendalam yang tidak memadai, tingkat keparahan temuan ini diturunkan ke tingkat rendah.

Bursa kripto Turki, BTCTurk, diretas sebesar $48 juta. Serangan tersebut melibatkan kebocoran kunci privat, yang memungkinkan penyerang untuk menguras dana dari dompet panas di tujuh blockchain yang berbeda. Bursa tersebut menangguhkan layanan kripto.

Odin.fun, sebuah platform peluncuran dan perdagangan memecoin berbasis Bitcoin, mengalami eksploitasi. Serangan ini mengeksploitasi kelemahan dalam alat pembuat pasar otomatis platform yang diperkenalkan dalam pembaruan terbaru. Penyerang melakukan skema manipulasi likuiditas dengan menambahkan token seperti SATOSHI untuk menaikkan harga, kemudian menarik likuiditas mereka untuk menguangkan dalam Bitcoin.

Seorang penyerang menggunakan peran BRIDGE untuk menerbitkan token tanpa jaminan yang sesuai. Token ini kemudian digunakan sebagai jaminan untuk pinjaman dalam token lain. Dana yang dipinjam (dijamin oleh token tanpa jaminan) ditarik dan dicuci di jaringan Ethereum.

Kontrol akses dalam fungsi updateMerkleRoot() dikonfigurasi dengan tidak benar. Alih-alih memeriksa apakah alamat pemanggil ADALAH pemilik, kode memeriksa bahwa ia BUKAN pemilik. Kesalahan pengkodean kontrak pintar ini memungkinkan penyerang untuk membentuk akar Merkle palsu dan memperbarui kontrak pintar dengannya. Akar yang dibuat-buat ini memungkinkan penyerang untuk menarik token dari kontrak pintar.

Penyerang mengkompromikan perangkat pengembang menggunakan serangan phishing. Akses diperoleh ke lingkungan pengembangan. Penyerang memulai penarikan dana dari 9 akun pengguna.

Insiden tersebut melibatkan akses tidak sah ke dompet operasional yang digunakan untuk penyediaan likuiditas di bursa mitra.

Serangan rantai pasokan yang mengkompromikan jaringan produksi, memungkinkan penyerang untuk memodifikasi logika operasional server kontrol akun dan risiko.

Protokol tersebut memiliki sistem pemutus sirkuit yang terpicu saat kontrak berbahaya diterapkan. Namun, mekanisme bawaan yang dirancang untuk mencegah protokol dijeda tanpa batas waktu justru digunakan oleh penyerang untuk melawan protokol. Ketika tim menjalankan simulasi dengan kontrak pintar berbahaya dan tidak menemukan jalur eksploitasi yang mungkin, mereka melanjutkan protokol. Tindakan penyerang berikutnya tidak dihentikan karena pembatas yang dijelaskan sebelumnya untuk menjeda kembali protokol. Penyerang menggunakan pinjaman kilat (flash loan) dan data panggilan (calldata) berbahaya untuk menguras akun korban. Akar penyebab peretasan adalah kurangnya validasi data panggilan.

Sebuah backdoor kritis ditemukan di ribuan kontrak yang menggunakan ERC1967Proxy. Seorang peretas berhasil melakukan front-run inisialisasi dan menginstal proxy peretas di antaranya serta tetap tidak terdeteksi karena bug di penjelajah Blok. Peretas mencetak 110.000 token K dan memulai serangan untuk menguras Morpho Vault dan pool Uniswap v4.

Eksploitasi ini berasal dari kontrak pintar berbahaya yang dibuat oleh penyerang, yang digunakan untuk membuat dan membajak eksekusi selama pemenuhan pesanan. Akar masalahnya termasuk asumsi implisit dalam executeDecreaseOrder() bahwa parameter _account adalah Akun yang Dimiliki Secara Eksternal (EOA), padahal sebenarnya itu bisa menjadi kontrak pintar yang berbahaya. Kerentanan ini menyebabkan serangan multi-langkah yang canggih di mana penyerang dapat secara artifisial menggelembungkan AUM protokol, menebus GLP untuk aset yang lebih banyak dari yang seharusnya.

Penyerang mampu mengeksploitasi fitur penyeimbangan ulang kontrak Texture Vaults untuk memicu transfer. Penyerang memberikan akun token mereka sendiri, yang secara keliru diisi oleh Vault dengan token LP selama penyeimbangan ulang. Penyerang kemudian menukarkan token LP ini dengan likuiditas nyata.

Sebuah pool likuiditas rendah digunakan oleh pengguna sebagai oracle saat mengonfigurasi pod. Penyerang berhasil memanipulasi pool ini menggunakan pinjaman kilat (flash loan), dan kemudian pinjaman dengan jaminan kurang diambil.

Penyerang menargetkan kontrak ResupplyPair yang menggunakan nilai tukar yang dimanipulasi, hanya beberapa jam setelah penyebarannya. Akar masalahnya adalah bug manipulasi nilai tukar yang dipicu melalui serangan brankas ERC4626 "donasi pertama" klasik, yang mengakibatkan skenario pembagian-dengan-nilai-besar yang membuat exchangeRate menjadi nol. Nilai tukar yang dimanipulasi ini digunakan untuk menghitung LTV peminjam dalam pemeriksaan _isSolvent(). Karena ltv = 0 ketika exchangeRate = 0, penyerang melewati pemeriksaan solvabilitas dan meminjam 10 juta reUSD hanya dengan 1 wei jaminan.

Eksploitasi tersebut berkaitan dengan kontrak pintar untuk fitur leverage yang belum dirilis yang digunakan untuk tujuan pengujian. Ini menargetkan kontrak periferal menggunakan fillQuote untuk memanggil silo.borrow(), memanipulasi parameter untuk menargetkan dompet uji Tim Inti Silo.

Jembatan Hacken dieksploitasi. Kunci privat yang terkait dengan akun dengan hak pencetakan terpapar, memungkinkan penyerang untuk mencetak sejumlah besar token HAI dan kemudian dengan cepat menjualnya di bursa terdesentralisasi. Kunci privat tersebut terkait dengan peran pencetakan di jaringan Ethereum dan BNB Chain. Penyerang berhasil mencetak sekitar 900 juta token HAI.

Penyerang mengeksploitasi kerentanan integer underflow kritis dalam fungsi BankrollNetworkStack.sell() untuk memanipulasi akuntansi dividen dan menguras dana dari pengguna yang sebelumnya telah berinteraksi dengan atau menyetujui kontrak tersebut.

Nobitex, bursa mata uang kripto terbesar di Iran, menjadi target serangan siber signifikan yang diklaim oleh kelompok peretas pro-Israel Gonjeshke Darande, juga dikenal sebagai Predatory Sparrow. Kelompok tersebut menuduh bahwa Nobitex mendukung aktivitas militer Iran dan membantu pengguna menghindari sanksi internasional, membingkai tindakan tersebut sebagai pesan simbolis terkait dengan meningkatnya ketegangan antara Israel dan Iran. Peretasan tersebut melibatkan pencurian mata uang kripto dari dompet panas Nobitex di beberapa blockchain yang kompatibel dengan Ethereum Virtual Machine (EVM) dan Tron. Kelompok peretas tampaknya telah membakar aset kripto tersebut, secara efektif menghancurkannya daripada mengambilnya untuk keuntungan mereka sendiri.

Kerentanan ini berasal dari kegagalan untuk menimpa atau membatasi fungsi dasar mint() yang terekspos secara publik yang diwarisi dari standar ERC4626Upgradeable OpenZeppelin, yang memungkinkan penyerang untuk mencetak 9701 mpETH tanpa menyediakan ETH apa pun.

Eksploitasi ini berasal dari kerentanan dalam logika verifikasi fitur daftar mandiri. Penyerang mengeksploitasi kelemahan kritis dalam logika verifikasi fungsi create2 dengan mereferensikan transaksi yang gagal, memungkinkan token berbahaya untuk melewati pemeriksaan dan mentransfer dana dari kumpulan likuiditas.

Penyerang melakukan serangan rantai pasokan untuk mengeksfiltrasi kunci pribadi. Kunci yang bocor kemudian digunakan untuk membuka dana dari kontrak pintar jembatan. Serangan rantai pasokan menargetkan kode validator, kode berbahaya disuntikkan ke dalam gambar Docker pada saat pembuatan.

Kontrak migrasi Mendi-ke-Malda telah dieksploitasi. Kontrak tersebut memungkinkan alamat Comptroller Mendi untuk diteruskan secara dinamis, daripada dikodekan secara permanen. Penyerang menggunakan fitur yang dirancang semata-mata untuk memungkinkan pengguna protokol Mendi bermigrasi langsung ke Malda. Penyerang menyebarkan kontrak Comptroller Mendi palsu, memungkinkannya untuk membuat posisi Malda yang curang dan menarik dana melawannya.

Masalah inti di balik eksploitasi ini berasal dari dua kelemahan kritis dalam protokol Cork. Pertama, kontrak konfigurasi protokol (CorkConfig) memungkinkan pengguna untuk membuat pasar dengan aset penebusan (RA) arbitrer, memungkinkan penyerang untuk menunjuk DS sebagai RA. Kedua, fungsi beforeSwap kontrak CorkHook tidak memiliki kontrol akses dan validasi input yang tepat, memungkinkan siapa pun untuk memanggilnya dengan data hook kustom untuk operasi CorkCall. Dengan memanfaatkan kelemahan ini, penyerang membuat pasar berbahaya menggunakan DS sebagai RA dan menggunakan token DS yang valid dari pasar yang sah untuk disimpan ke pasar palsu ini. Sebagai imbalannya, mereka menerima token DS dan CT. Karena tidak adanya batasan pada jenis RA dan validasi yang tidak memadai dari pemanggil dan data input, penyerang dapat memanipulasi likuiditas dan melakukan penebusan yang tidak sah, menguras pasar asli. Manipulasi ini memungkinkan mereka untuk memperoleh sejumlah besar derivatif, yang akhirnya mereka tebus dengan 3,761 wstETH. Penyebab mendasar dari eksploitasi ini terletak pada kegagalan protokol untuk memvalidasi data yang diberikan pengguna secara ketat dan memberlakukan pembatasan yang tepat pada pembuatan pasar.

Penyerang mengeksploitasi kerentanan situasional dalam jalur setoran brankas usUSDS++, brankas beta yang dibangun di atas Protokol Sky. Kerentanan ini berpusat pada proses "unwrap", di mana USD0++ dikonversi menjadi USD0 selama setoran. Dengan memanipulasi rute setoran brankas, khususnya konversi terbatas dan dibatasi dari USD0++ ke USD0, penyerang melakukan strategi arbitrase dan menghasilkan keuntungan sekitar $42.800. Brankas tersebut telah menjalani 4 audit keamanan dalam beberapa bulan terakhir. Eksploitasi ini bukan karena logika yang salah. Sebaliknya, eksploitasi ini memanfaatkan kasus batas perilaku dalam sistem.

Kurangnya validasi umpan harga Chainlink Oracle memungkinkan penyerang menggunakan tanda tangan harga yang lama, tetapi masih valid secara kriptografis, untuk membuka posisi. Penyerang menggunakan harga ETH yang sangat usang sekitar $1.816, sementara harga pasar sebenarnya mendekati $2.520. Perbedaan harga aset diekstraksi sebagai keuntungan.

Bug dalam metode pemeriksaan integer overflow memungkinkan penyerang untuk mencetak SUI yang tidak aman.

Kontrak pintar yang bugged dan usang masih digunakan sebagai oracle untuk harga token sebelum serangan. Penyerang menggunakan donasi untuk mengeksploitasi kerentanan dalam kode dan secara artifisial menaikkan harga dGLP. Penyerang kemudian menggunakan dGLP yang dinilai terlalu tinggi sebagai jaminan untuk meminjam.

Urutan serangan mengandalkan hak istimewa administratif ekstensif yang diperoleh. Peran admin diberikan ke alamat penyerang oleh Zunami Protocol Deployer Wallet. Kemudian penyerang mengeksekusi eksploit dengan langsung memanggil fungsi withdrawStuckToken() pada strategi Zunami, fungsi yang dirancang untuk penarikan darurat. Panggilan tunggal ini memungkinkan penyerang untuk mentransfer 296.456 token LP, mewakili jaminan untuk zunUSD dan zunETH, langsung ke alamat mereka.

Kontrak pintar yang belum diaudit mengandung kesalahan logis sederhana yang memungkinkan penyerang menguras semua likuiditas. Akar masalahnya adalah kelebihan pengganda 1e18 dalam fungsi evaluasi deposit.

Insiden tersebut ditelusuri ke seorang pengembang yang tidak sengaja direkrut oleh tim yang ternyata adalah seorang pekerja IT Korea Utara yang menyamar. Individu/tim ini secara tidak sah mengakses kunci administratif proyek dan melakukan serangkaian transaksi yang tidak sah. Penyerang telah menyebarkan versi modifikasi dari kontrak AToken & VariableDebtToken. Dalam versi ini, pengubah kontrol akses onlyPool diubah untuk memungkinkan tidak hanya kontrak Pool, tetapi juga alamat apa pun dengan peran Admin Pool untuk mengeksekusi fungsi yang awalnya dibatasi. Penyerang menggunakan dompet penyebar yang disusupi untuk memulai pengurasan semua pool.

Selama pembaruan internal pada oracle tETH, ketidakcocokan dalam presisi desimal antara komponen oracle diperkenalkan. Inkonsistensi ini menyebabkan keluaran harga yang salah untuk tETH. Seorang likuidator anonim mengeksekusi likuidasi selama jendela ketika harga tETH yang salah aktif.

Loopscale menjadi sasaran serangan yang mengeksploitasi logika harga protokol untuk token yang dikeluarkan RateX. Dengan memalsukan program pasar RateX PT, penyerang dapat mengambil serangkaian pinjaman yang jaminannya kurang. Jalur kode yang dieksploitasi disebarkan sebagai bagian dari integrasi baru dengan RateX dan belum menjalani audit pihak ketiga formal.

Memanfaatkan kode protokol yang cacat, penyerang membuat kumpulan likuiditas jauh dari harga saat ini dan menghasilkan biaya substansial melalui "wash swap". Biaya ini kemudian digunakan untuk menggelembungkan penilaian agunan, memanfaatkan matematika kontrak pintar yang cacat. Penyerang kemudian meminjam dengan agunan yang dinilai terlalu tinggi ini. Namun, investasi ulang kemudian mengurangi nilai agunan, menghasilkan utang yang dijamin kurang. Utang ini kemudian direstrukturisasi tanpa likuidasi, memungkinkan penyerang untuk mempertahankan dana ilegal tersebut.

Dompet deployer Oxya Origin tampaknya telah disusupi, mengakibatkan kepemilikan token $OXYZ ditransfer ke alamat yang mencurigakan (0x2a00d9941ab583072bcf01ec2e644679e4579272). Penyerang mencetak 9 miliar $OXYZ, menukar $45K, dan menjembatani dana melalui Stargate.

Kerentanan dalam fungsi overPaper pada kontrak pintar BTCMapp memungkinkan penyerang mengekstrak 1.311 ETH, yang setara dengan $2.228.700.

Penyerang memanipulasi harga token $NUMA, sambil secara bersamaan membuka posisi short dan long besar, menarik jaminan yang disimpan dengan melikuidasi diri mereka sendiri, dan keluar melalui brankas.

Pengembang jahat telah menyuntikkan kode ke dalam kontrak pintar staking, memungkinkan mereka untuk melakukan pengurasan darurat dari kumpulan likuiditas, menghasilkan sekitar 490 ETH token yang dicuri.

Kerentanan ini berasal dari kontrak TrustedForwarder, yang mewarisi MinimalForwarderUpgradeable dari OpenZeppelin tetapi tidak menimpa metode execute. Akibatnya, metode tersebut tetap tanpa izin dan rentan terhadap penyalahgunaan. Penyerang memanfaatkan kelalaian ini dengan langsung memanggil fungsi execute asli dari MinimalForwarderUpgradeable. Dalam satu transaksi, penyerang membuka posisi dengan harga yang sengaja direndahkan dan kemudian menutupnya dengan harga yang lebih tinggi, menghasilkan keuntungan tidak sah melalui eksploit ini.

Penyerang menggunakan akun admin yang disusupi untuk mencetak token yang belum diklaim yang tersisa dari distributor Merkle token ZK yang digunakan untuk airdrop ZKsync pada 17 Juni 2024. Peretas berhasil menguasai 111.881.122 token ZK.

Kunci pribadi telah disusupi. Penyerang kemudian menggunakan kunci-kunci ini untuk memperbarui fungsi dalam kontrak menjadi fungsi berbahaya, yang memungkinkannya menarik dana.