Exploit de puente

292 M$ en rsETH sin respaldo acuñados tras explotar la configuración 1-de-1 de LayerZero DVN de KelpDAO; el mayor hackeo DeFi de 2026, TVL cayó 13 B$ después.

1.000 M de DOT bridgeados acuñados en Hyperbridge tras una verificación ausente en VerifyProof que dejó forjar pruebas MMR; pérdida realizada ~2,5 M$.

4,3 M$ drenados del puente ioTube de IoTeX por un compromiso de clave de validador; también acuñó 111 M CIOTX y 9,3 M CCS. IoTeX prometió compensación total.

GriffinAI, proyecto cripto de agentes IA, perdió ~3 M$ porque un fallo de bridge/mint dejó acuñar tokens GAIN sin respaldo y volcarlos, colapsando el precio.

Un fallo de control de acceso drenó 3,76 M$ del Force Bridge de Nervos en Ethereum y BNB Chain; el botín se cambió a ETH y se lavó por Tornado y FixedFloat.

Un bot MEV white-hat drenó $12 M del puente de Ronin vía falla de init en código muerto que dejó minimumVoteWeight en cero. Fondos devueltos por $500K.

Lazarus de la RPDC drenó $4,3M del puente cross-chain de ALEX Lab en Stacks mediante un fallo en la lógica de verificación, rastreado vía blanqueo on-chain.

~$82 M drenados del puente cross-chain de Orbit Chain en Nochevieja después de comprometerse siete de diez firmantes multi-sig; pérdidas en Ethereum y Klaytn.

~220K$ drenados de HYPR Network tras un fallo de bridge/contrato que dejó al atacante extraer liquidez bridgeada: un fallo de puente pequeño pero limpio.

~$2,6M de ETH atascados o en riesgo en el puente Shibarium al lanzamiento tras un contrato mal configurado y sobrecarga de tráfico que dejó fondos inaccesibles.

Una verificación de prueba Merkle defectuosa en el puente nativo de BSC permitió forjar retiradas por 2M BNB antes de que los validadores pausaran la cadena.

Una actualización rutinaria marcó el hash cero como raíz válida, convirtiendo cada mensaje de Nomad en un retiro que cualquiera podía copiar y pegar.

Lazarus comprometió 2 de 5 claves multi-firma del puente cross-chain de Harmony y drenó 100 M$; el quorum 2-de-5 estaba por debajo de su perfil de riesgo.

El puente Meter Passport perdió $4,4 M cuando su manejador de depósitos aceptó un monto de token wrapped sin respaldo, minteando BNB/ETH puenteados.

Un bypass de verificación de firmas en el lado Solana de Wormhole permitió al atacante acuñar 120.000 wETH de la nada — sin colateral en Ethereum.

Un atacante engañó al puente BSC de Qubit para mintear 77.162 qXETH ($185 M nominales) sin depositar ETH, pidiendo prestados 206.809 BNB ($80 M).

$13M+ drenados de THORChain en dos ataques con una semana de diferencia, ambos explotando fallos de depósito falso en el puente Bifrost durante Chaosnet.

Una vulnerabilidad en el puente Ethereum-BSC de ChainSwap permitió acuñar arbitrariamente 20+ tokens; $4M drenados, tokens cayeron 95%+.

Un atacante detectó un k repetido en dos firmas de BSC, recalculó la clave privada MPC de Anyswap V3 y drenó $7,9M de sus pools del router cross-chain.