Ataque con flash loan

$4,13 M extraídos del pool DUSD/USDC de Makina vía manipulación de MachineShareOracle con préstamo flash; white-hat recuperó 89% en una semana.

Zunami Protocol perdió ~$500K en un segundo incidente, 2 años después de su exploit de pool Curve de 2023, nuevamente por derivación de precio manipulable.

$11 M drenados del ayudante de migración de Trove de Prisma Finance tras saltarse migrate() y llamar a flashloan() directamente, luego exigió una disculpa.

Un bug de redondeo en la contabilidad de deuda de los Cauldrons de Abracadabra permitió drenar $6,5M (2.740 ETH + 2,2M MIM) pagando deudas ajenas.

Gamma Strategies en Arbitrum perdió 6,1 M$ porque una verificación débil del proxy de depósito permitió a un préstamo flash sesgar el ratio y retirar de más.

$2,1M drenados de Zunami tras que los precios de sus stablecoins zETH y UZD, derivados de pools manipulables de Curve, fueran inflados con préstamo flash.

7,5 M$ extraídos de Jimbo's Protocol en Arbitrum tras un fallo de slippage en JimboController.shift() que dejó a un préstamo flash drenar el ETH del piso.

$8,5 M drenados de Platypus en Avalanche vía exploit de préstamo flash de emergencyWithdraw(), retirando colateral en stake antes del reembolso.

Un préstamo flash de $1B compró el 67% de la gobernanza de Beanstalk en un bloque, aprobando una propuesta que drenó la tesorería. Neto: $76M de $182M.

La manipulación de precio de yUSD con préstamo flash permitió pedir prestado contra $1B en colateral falso y drenar $130M de Cream, su 3er exploit de 2021.

16 M$ drenados de los pools DEFI5 y CC10 vía préstamo flash a la matemática de rebalanceo; el atacante adolescente montó una defensa 'code is law' en Canadá.

$20,7 M drenados del pool Sorbetto Fragola de Popsicle tras transferencias de participaciones engañar al contrato para deber recompensas iguales al TVL.

Wault Finance en BNB Chain perdió ~$1M cuando una manipulación con préstamo flash del precio WUSD/WEX permitió acuñar y canjear a tasas sesgadas.

Préstamos flash de $385M manipularon una estrategia beltBUSD, distorsionando el precio de la share para extraer $6,23M de $50M en pérdidas totales.

Múltiples exploits en 2021 (~$680K+) de Merlin Labs en BNB Chain, optimizador cuyo precio de estrategia y recompensas fue manipulado vía préstamos flash.

Manipulación de precio SHARK/BNB con préstamo flash infló la recompensa de AutoShark, drenando ~$745K en BSC: repetición casi exacta de PancakeBunny.

$45 M extraídos de PancakeBunny cuando un préstamo flash de $704 M manipuló el oráculo BUNNY/BNB y minteó ~7 M BUNNY de la nada; BUNNY cayó 95% en minutos.

xToken perdió $24M cuando xSNXa y xBNTa se valoraban desde pools manipulables; un préstamo flash permitió acuñar tokens baratos y canjear el subyacente real.

Spartan Protocol perdió $30M en BSC por un cálculo de participación de liquidez defectuoso, el primer gran ataque con préstamo flash en BSC.

Un préstamo flash manipuló el precio TRUNK/BUSD y ELEPHANT en el mecanismo de compra/venta de Elephant Money en BNB Chain, drenando ~22 M$ a tasas sesgadas.

Préstamo flash manipuló los precios gToken/stkToken en la estrategia de yield de Growth DeFi, extrayendo ~1,3 M$ de reservas a tasas sesgadas ('The Big Combo').

Un contrato 'spell' explotó un bug de redondeo de borrow-share para acumular cero shares contra deuda cySUSD real, drenando $37,5M en Alpha/Iron Bank.

La bóveda yDAI de Yearn perdió $11M (atacante ganó $2,8M) cuando una secuencia de 11 tx con préstamo flash sesgó el precio DAI del 3pool de Curve.

Warp Finance perdió $7,8M valorando colateral en tokens LP de Uniswap desde reservas spot manipulables; un préstamo flash infló el valor LP.

La bóveda MultiStables de Value DeFi perdió $7M por una manipulación con préstamo flash del precio Curve 3pool, un caso canónico temprano del patrón.

Treinta bucles de manipulación en Curve YPool con un préstamo flash de 50 M$ USDC extrajeron 24 M$ de Harvest Finance; el exploit causó un bank run de 570 M$.

El proyecto Eminence de Andre Cronje perdió 15 M$ por un exploit de préstamo flash horas después de un teaser. Se devolvieron 8 M$. El contrato era no auditado.

El primer ataque con préstamo flash conocido drenó ~$954K de bZx dos veces en 4 días, usando préstamos de Aave para manipular precios del oráculo de Uniswap.