Summer Finance perd 6M$ dans un exploit de prêt flash
Un prêt flash de 65 M$ a gonflé un remboursement à 70,9 M$ et permis d'empocher 6 M$, une manipulation classique des smart contracts du Lazy Summer Protocol.
Violations d'échanges, de ponts et de protocoles où des fonds ont été volés — rapports d'incidents et analyses post-mortem.
Un prêt flash de 65 M$ a gonflé un remboursement à 70,9 M$ et permis d'empocher 6 M$, une manipulation classique des smart contracts du Lazy Summer Protocol.
Le protocole de prêt DeFi a perdu un peu plus de 6M$ dans un seul exploit, le dernier d'une série de venues DeFi de capitalisation moyenne prises pour cible par des attaquants en 2025.
L'attaque vise un agrégateur de rendement conçu spécifiquement pour une infrastructure de coffres de qualité institutionnelle, braquant les projecteurs sur la pile de sécurité qui sous-tend les stratégies automatisées de la DeFi.
L'alerte du Trésor sur 10 milliards de dollars d'arnaques et une nouvelle coalition DeFi montrent que le secteur traite enfin l'ingénierie sociale et les pirates liés à des États comme la principale surface d'attaque, et non les bugs de smart contracts.
Un portefeuille dormant depuis cinq mois qui déverse la totalité de ses 21,4 M$ de $SOL en ETH avant de passer par un mixer illustre à merveille le nettoyage post-exploit et rappelle que les Solana volés finissent toujours par trouver une sortie vers…
Avec des chances de récupération jugées faibles, le projet s'éloigne de ses racines en matière d'identité et de blockchain, un retrait stratégique qui signale l'ampleur des dégâts.
L'action du Trésor regroupe des sanctions contre les rails Tron-Monero d'ISIS-K avec un réseau de blanchiment PCC lié au Brésil de 30 millions de dollars, renforçant le rôle des émetteurs de stablecoins centralisés dans l'application effective des sanctions.
Le départ du groupe financier japonais retire environ 2 % de la puissance de hachage du réseau, laissant un mois pour migrer, ajoutant un nouveau risque de concentration des pools à un secteur déjà sous pression sur les marges.
La rapidité de la récupération fait toute la différence : chaque déposant rétabli en moins de deux semaines, un post-mortem complet à venir, et un rallye de 136 % sur TAIKO qui montre que le marché considère la gestion de l'incident comme légitime.
L'exploitation de Humanity Protocol a représenté à elle seule environ 31 M$ de ce total, soit plus d'un tiers des vols on-chain de juin répartis sur 40 incidents.
Une nouvelle campagne de logiciels malveillants vise les développeurs crypto en amont, dérobant des jetons GitHub, des clés SSH et des portefeuilles pour que les attaquants prennent le contrôle du build avant la mise en ligne d'un protocole.
Les exploits de smart contracts font la une, mais l'essentiel des fonds volés provient de clés compromises et de failles opérationnelles, un risque structurel que le MPC et l'abstraction de compte tentent désormais de…
Le créateur du portefeuille n'arrive pas à remonter jusqu'à l'auteur du vol, et les travaux de récupération se poursuivent via plusieurs pistes parallèles deux semaines après la divulgation initiale.
Si les réserves du hot wallet en ETH, USDT et SOL sont insuffisantes, la file d'attente des retraits cesse d'être un problème opérationnel pour devenir une question de solvabilité pour les utilisateurs encore présents sur la plateforme.
Le code injecté se trouvait sur le frontend du site plutôt que dans les contrats principaux de Polymarket, mais la leçon pour les marchés prédictifs est plus dure : le risque fournisseur se retrouve désormais à l'intérieur du périmètre de confiance de l'utilisateur, et non à l'extérieur…
Une fenêtre de migration de 6 à 12 mois pour environ 1M de BTC, puis geler le reste : une proposition de gouvernance provocante d'une des voix les plus fortes de la crypto, sans solution évidente.
Base est un layer-2 incubé par Coinbase avec des milliards en TVL. Un temps d'arrêt prolongé sur une plateforme de cette taille teste l'hypothèse selon laquelle les rollups héritent des garanties de disponibilité d'Ethereum.
Le layer-2 incubé par Coinbase a connu sa deuxième panne notable cette année, gelant les dépôts et les retraits et exposant le risque opérationnel d'une configuration de séquenceur à faible redondance.
La faille se nichait dans la couche de génération d'adresses de SecondFi, si bien que migrer une phrase de récupération vers un nouveau portefeuille n'offre aucune protection, et l'estimation élargie de SlowMist est le chiffre que tout détenteur d'ADA lit en ce moment.
Le protocole lui-même n'a jamais été compromis. Les vraies questions sont de savoir comment Emergo a obtenu les clés pour saisir 129M $ADA en pleine exploitation, et si l'optique de récupération pour une entité fondatrice vaut le coût en termes de confiance.