Phishing / Ingeniería social

Un usuario de Venus Protocol fue phishieado para delegar el control de cuenta, perdiendo ~$3,7M de su posición. Los contratos de Venus no fueron tocados.

Atacantes comprometieron el backend de BigONE y reescribieron la lógica de riesgo para auto-aprobar retiradas, drenando $27M sin exponer claves.

8,6 M$ extraídos de Ionic Money en Mode tras suplantar a Lombard Finance durante semanas, conseguir listar un LBTC falso y pedir prestado contra él.

Tapioca DAO perdió $4,65M tras un miembro de Discord ser manipulado para conectar una hardware wallet; el atacante se apoderó de TAP/USDO. Recuperaron $2,7M.

Un fallo del oráculo de mensajes de Telegram permitió drenar $3M de 11 usuarios de Banana Gun vía transferencias manuales. Víctimas reembolsadas.

Una ballena cripto perdió $55,47M en DAI tras firmar una tx maliciosa en una copia phishing del login de DeFi Saver impulsada por Inferno Drainer.

Un paquete malicioso de PyPI (bittensor 6.12.2) exfiltró coldkeys descifradas y robó ~32.000 TAO ($8M); Opentensor aisló los validadores en 35 minutos.

Operativos de la RPDC comprometieron a un dev del proveedor Ginco vía oferta falsa en LinkedIn, drenando 4.502,9 BTC (305 M$) del exchange DMM Bitcoin.

26 M$ drenados de Kronos Research (Taipéi) tras robar claves API (no claves privadas) que controlaban retiros programáticos; WOO suspendió el trading.

Una brecha de backups cifrados de LastPass llevó a un drenaje multianual a víctimas que guardaban seed phrases; las pérdidas pasaron de 35 M$ a más de 400 M$.

Una operación de SIM-swap drenó 477 M$ de wallets de FTX en horas tras la solicitud de Chapter 11, explotando el caos del mayor colapso cripto desde Mt. Gox.

Un exploit de bypass del 2FA drenó $34M de 483 cuentas de Crypto.com; los atacantes autorizaron transacciones sin que el 2FA se solicitara al usuario.

Un phishing con macro de Word en la máquina de un dev permitió a atacantes vinculados a Lazarus drenar $55M de los despliegues de bZx en Polygon y BSC.