Compromiso de clave privada

Las bóvedas perp de Wasabi en Ethereum, Base, Berachain y Blast perdieron $5M cuando un EOA desplegador con ADMIN_ROLE único permitió upgrades UUPS.

Las bóvedas Sui de Volo perdieron $3,5M tras ingeniería social que comprometió la clave admin. El equipo congeló $500K y bloqueó un puente WBTC de $2,1M.

Resolv Labs perdió $25 M tras comprometerse sus claves AWS KMS; un depósito de $100K USDC minteó 50M USR y despegó la stablecoin un 74% en 17 minutos.

Step Finance perdió 261.854 SOL ($27M) de billeteras de tesorería y comisiones ante un actor 'sofisticado'. STEP cayó 96%; Step, SolanaFloor y Remora cerraron.

Probable robo de clave dio a los atacantes el control del contrato de GANA Payment en BSC; manipularon tasas de recompensa y drenaron 3,1 M$ vía unstake.

SBI Crypto, el brazo minero de SBI Holdings, perdió $24M en BTC, ETH, LTC, DOGE y BCH. Sin detectar 7 días hasta que ZachXBT señaló patrón Lazarus.

UXLINK, un protocolo social Web3, perdió ~$41M tras que los atacantes comprometieran las claves multi-firma y explotaran un delegatecall sin restricciones.

El SOL Earn de SwissBorg perdió $41,5M (193.000 SOL) vía una API comprometida en el proveedor de staking Kiln. SwissBorg no fue vulnerado.

Un compromiso de hot wallet en 7 cadenas drenó $48M del exchange turco BtcTurk, su segundo gran hackeo en 14 meses. El almacenamiento en frío quedó intacto.

Atacantes drenaron $44M de la cuenta interna de liquidez de CoinDCX usada para reservas con exchanges socios; el exchange absorbió la pérdida desde tesorería.

Más de $90 M drenados del mayor exchange de Irán por Predatory Sparrow, luego quemados a direcciones con mensajes anti-IRGC — destrucción, no lucro.

UPCX perdió ~$70M de su tesorería tras que una cuenta admin comprometida en la plataforma de pagos open source impulsara una actualización maliciosa.

$8,4M drenados de Zoth, un protocolo de restaking RWA, tras que su clave de desplegador fuera comprometida y usada para impulsar una implementación maliciosa.

49,5 M$ drenados del vault Morpho MEVCapital USDC de Infini por la dirección que construyó el contrato y conservó la autoridad admin tras el lanzamiento.

~$73 M drenados de hot wallets de Phemex en 16 cadenas en un barrido coordinado — el primer gran hackeo de exchange de 2025, con TTPs consistentes con Lazarus.

Moby Trade, protocolo de opciones en Arbitrum, perdió ~$1 M tras comprometerse una clave privilegiada para amañar liquidaciones. SEAL limitó los daños.

$13,7 M drenados de hot wallets de M2 Exchange en BTC, ETH y Solana; identificados, contenidos y fondos de clientes restaurados en solo 16 minutos.

Un compromiso multi-chain estilo RPDC barrió $52M de las hot wallets de BingX en Ethereum, BNB Chain, Avalanche, Optimism y Polygon.

DeltaPrime perdió 6 M$ en Arbitrum tras filtrarse una clave única; el equipo usaba multi-firma en Avalanche pero no en Arbitrum. ZachXBT lo vinculó a Lazarus.

~20 M$ barridos del mayor exchange cripto de Indonesia en varias cadenas en un compromiso coordinado de hot wallet durante la racha de brechas de 2024.

~$55M drenados de las hot wallets de BtcTurk; Binance congeló ~$5,3M en tránsito — el mayor compromiso de un exchange turco hasta la fecha.

$22 M (158 BTC, 2.161 ETH, más LTC/BCH) drenados de Lykke en un compromiso de claves que el exchange británico ocultó; atribuido a Lazarus.

Un atacante usó un rol MINTER inactivo para acuñar 5 B GALA (216 M$), vendió 21,8 M$ antes del blacklist; los 4,4 B restantes están efectivamente quemados.

Grand Base, proyecto RWA en Base, perdió 2 M$ tras comprometerse o abusarse la clave del deployer; el atacante acuñó GB ilimitado y drenó el pool de liquidez.

Una clave admin robada permitió al atacante añadirse como minter y producir 1,79 B PLA en dos golpes — nominal $290 M, solo $32 M cobrados con éxito.

Orange Finance en Arbitrum perdió ~$844K tras comprometerse su clave admin, usada para alterar estrategias y retirar posiciones de Uniswap v3.

Usuarios del agregador OKX DEX perdieron $2,7 M tras comprometerse una clave proxy-admin desactivada, actualizando el contrato a versión maliciosa.

Un compromiso único de operador drenó 87 M$ del puente HECO más 12 M$ de hot wallets de HTX, golpeando ambas plataformas de Justin Sun en 24 horas.

$114 M+ barridos de hot wallets de Ethereum y Tron de Poloniex tras extraer claves privadas de sistemas internos; Justin Sun prometió reembolso total.

$200 M drenados de hot wallets de Mixin Network tras comprometer al proveedor de nube que alojaba su base de datos centralizada — alarma de infraestructura.

$2,7 M drenados de las hot wallets del exchange P2P Remitano en USDT, ANK, USDC y ETH vía compromiso de clave privada; TTPs consistentes con Lazarus.

Lazarus drenó $54M de hot wallets de CoinEx en Ethereum, Tron, BSC y otras 7 cadenas, reutilizando infraestructura del golpe a Stake.com previo.

Stake.com perdió $41M de hot wallets en Ethereum, BSC y Polygon en 90 minutos; el FBI atribuyó formalmente el robo a Lazarus y listó 40 direcciones.

$869K drenados de RocketSwap en Base tras una brecha de servidor que entregó tanto las claves encriptadas como la lógica de descifrado del script.

Drenaron $1,14M de Steadefi en Arbitrum y Avalanche tras un compromiso de la clave privada del desplegador que permitió al atacante apoderarse de las bóvedas.

Un compromiso de claves drenó $60M de las hot wallets de AlphaPo en Tron, Bitcoin y Ethereum. El FBI atribuyó la brecha a Lazarus.

$125 M drenados de los contratos del puente Multichain tras el arresto del CEO Zhaojun; el equipo perdió acceso a claves MPC y todo apuntaba a interno.

Una operación de Lazarus apuntó al software de Atomic Wallet, no a semillas individuales, drenando $100M+ de ~5.500 usuarios y rompiendo la auto-custodia.

Un compromiso de clave de firma barrió $23M en ETH, QNT, GALA, SHIB, HOT y MATIC de la hot wallet de Bitrue, menos del 5% de los saldos.

El compromiso del owner añadió un colateral falso a Defrost Finance en Avalanche y liquidó todas las posiciones por ~12 M$. La mayoría se devolvió.

$4,4 M drenados de los pools de Raydium en Solana tras malware robar la clave del pool-admin, luego usó funciones admin para retirar comisiones.

Una clave de dev robada permitió acuñar 60 billones de aBNBc, que Helio aceptó como colateral para prestar $16M de HAY antes del freeze de $3M de Binance.

Un atacante drenó 28 M$ de las hot wallets BTC/ETH/USDC de Deribit; el mayor exchange de opciones lo cubrió con su balance, sin tocar el cold storage.

Wintermute perdió $160M de una hot wallet cuya dirección vanity generada por Profanity usaba semilla PRNG de 32 bits que permitía fuerza bruta. Lo sabían.

~9.231 billeteras Solana perdieron $4,1M tras que la app Slope Wallet registrara las frases semilla de los usuarios en texto plano en un servidor Sentry.

Compromiso de claves privadas de validadores drenó 173.600 ETH y 25,5 M USDC del puente Ronin — el mayor hackeo cripto en ese momento.

Un compromiso de clave privada drenó 10 M$ de Dego Finance en Ethereum y BNB Chain, barriendo pools de liquidez y wallets de usuarios con aprobaciones activas.

148 billeteras de Vulcan Forged perdieron 4,5M PYR ($140M) tras que atacantes comprometieran la custodia Venly. Reembolsadas en su totalidad.

Un atacante drenó $77,7M en 78 tokens ERC-20 de hot wallets de AscendEX en Ethereum, BSC y Polygon, vinculado a una vulnerabilidad hardware de terceros.

Un solo compromiso de clave privada drenó $196M de dos hot wallets de Bitmart en Ethereum y BNB Chain; usuarios compensados desde reservas.

Un compromiso de clave admin permitió retirar $139M de liquidez del DEX BXH en BSC, una de las pérdidas más grandes y poco recordadas de 2021.

~97 M$ drenados de las wallets calientes de Liquid Global (Japón) en ETH, XRP, BTC y stablecoins; FTX dio un préstamo de 120 M$ y luego la adquirió.

~1,5 M$ drenados de Levyathan Finance en Fantom tras filtrarse la clave del deployer (al parecer a un repo público), dejando a un atacante acuñar LEV ilimitado.

Una clave desplegadora comprometida permitió acuñar ~373M BONDLY (~$5,9M) y volcarlos en liquidez, colapsando el token antes de la migración.

Atacantes comprometieron la máquina del CEO, extrajeron claves de su wallet admin MetaMask, acuñaron EASY y drenaron 80 M$+ de pools de liquidez en Polygon.

$5,7 M drenados de la hot wallet de Roll, colapsando docenas de tokens de creadores 'social money' a la vez vía un único compromiso de clave privada.

PAID Network sufrió un minteo de $27 M+ tras comprometerse la clave del deployer, re-minteando ~59 M PAID; el atacante vendió ~2,5 M por $3 M.

281 M$ drenados de hot wallets de KuCoin en BTC, ETH y ERC-20: el tercer mayor hackeo de exchange, operación de Lazarus; ~84% recuperado después.

Un compromiso de infraestructura de wallets barrió ~$16M en ETH y ERC-20s de 76.000+ usuarios de Cryptopia, matando al exchange neozelandés.

523M XEM ($530M) drenados de Coincheck en Japón, que tenía sus reservas NEM en una sola hot wallet sin multifirma. Clientes reembolsados en yenes.