Exploit de pruebas falsificadas del bridge de Taiko
Una clave de firma SGX filtrada en el GitHub público de Taiko permitió falsificar pruebas del bridge y drenar unos $1,7M del L1 Bridge y el ERC20Vault en Ethereum.
Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.
Una clave de firma SGX filtrada en el GitHub público de Taiko permitió falsificar pruebas del bridge y drenar unos $1,7M del L1 Bridge y el ERC20Vault en Ethereum.
Un contrato de puente defectuoso permitió forjar paquetes IBC y acuñar saTokens sin respaldo, drenando unos 4,67 millones de dólares en activos de Axelar.
Un atacante envió VAAs de guardián falsificadas al TokenBridge de Alephium (un fork de Wormhole) y drenó unos 815.000 dólares en activos en custodia de Ethereum y BNB Chain en unos siete minutos.
Gravity Bridge, el puente cross-chain Cosmos-Ethereum, fue drenado de unos 5,4 millones de dólares tras la aparente compromisión de las claves de firma de sus validadores.
El puente Verus-Ethereum pagó $11,58M tras un export Verus de solo 0,02 VRSC — sin validación de vinculación de valor origen/destino.
292 M$ en rsETH sin respaldo acuñados tras explotar la configuración 1-de-1 de LayerZero DVN de KelpDAO; el mayor hackeo DeFi de 2026, TVL cayó 13 B$ después.
1.000 M de DOT bridgeados acuñados en Hyperbridge tras una verificación ausente en VerifyProof que dejó forjar pruebas MMR; pérdida realizada ~2,5 M$.
4,3 M$ drenados del puente ioTube de IoTeX por un compromiso de clave de validador; también acuñó 111 M CIOTX y 9,3 M CCS. IoTeX prometió compensación total.
GriffinAI, proyecto cripto de agentes IA, perdió ~3 M$ porque un fallo de bridge/mint dejó acuñar tokens GAIN sin respaldo y volcarlos, colapsando el precio.
Un fallo de control de acceso drenó 3,76 M$ del Force Bridge de Nervos en Ethereum y BNB Chain; el botín se cambió a ETH y se lavó por Tornado y FixedFloat.
Un bot MEV white-hat drenó $12 M del puente de Ronin vía falla de init en código muerto que dejó minimumVoteWeight en cero. Fondos devueltos por $500K.
~$82 M drenados del puente cross-chain de Orbit Chain en Nochevieja después de comprometerse siete de diez firmantes multi-sig; pérdidas en Ethereum y Klaytn.
~220K$ drenados de HYPR Network tras un fallo de bridge/contrato que dejó al atacante extraer liquidez bridgeada: un fallo de puente pequeño pero limpio.
~$2,6M de ETH atascados o en riesgo en el puente Shibarium al lanzamiento tras un contrato mal configurado y sobrecarga de tráfico que dejó fondos inaccesibles.
Una actualización rutinaria marcó el hash cero como raíz válida, convirtiendo cada mensaje de Nomad en un retiro que cualquiera podía copiar y pegar.
Lazarus comprometió 2 de 5 claves multi-firma del puente cross-chain de Harmony y drenó 100 M$; el quorum 2-de-5 estaba por debajo de su perfil de riesgo.
Un bypass de verificación de firmas en el lado Solana de Wormhole permitió al atacante acuñar 120.000 wETH de la nada — sin colateral en Ethereum.
Un atacante engañó al puente BSC de Qubit para mintear 77.162 qXETH ($185 M nominales) sin depositar ETH, pidiendo prestados 206.809 BNB ($80 M).
$13M+ drenados de THORChain en dos ataques con una semana de diferencia, ambos explotando fallos de depósito falso en el puente Bifrost durante Chaosnet.
Una vulnerabilidad en el puente Ethereum-BSC de ChainSwap permitió acuñar arbitrariamente 20+ tokens; $4M drenados, tokens cayeron 95%+.
Un atacante detectó un k repetido en dos firmas de BSC, recalculó la clave privada MPC de Anyswap V3 y drenó $7,9M de sus pools del router cross-chain.