Ataques de Compromiso de clave privada en Ethereum

Las bóvedas perp de Wasabi en Ethereum, Base, Berachain y Blast perdieron $5M cuando un EOA desplegador con ADMIN_ROLE único permitió upgrades UUPS.

Resolv Labs perdió $25 M tras comprometerse sus claves AWS KMS; un depósito de $100K USDC minteó 50M USR y despegó la stablecoin un 74% en 17 minutos.

Probable robo de clave dio a los atacantes el control del contrato de GANA Payment en BSC; manipularon tasas de recompensa y drenaron 3,1 M$ vía unstake.

SBI Crypto, el brazo minero de SBI Holdings, perdió $24M en BTC, ETH, LTC, DOGE y BCH. Sin detectar 7 días hasta que ZachXBT señaló patrón Lazarus.

UXLINK, un protocolo social Web3, perdió ~$41M tras que los atacantes comprometieran las claves multi-firma y explotaran un delegatecall sin restricciones.

Un compromiso de hot wallet en 7 cadenas drenó $48M del exchange turco BtcTurk, su segundo gran hackeo en 14 meses. El almacenamiento en frío quedó intacto.

Atacantes drenaron $44M de la cuenta interna de liquidez de CoinDCX usada para reservas con exchanges socios; el exchange absorbió la pérdida desde tesorería.

Más de $90 M drenados del mayor exchange de Irán por Predatory Sparrow, luego quemados a direcciones con mensajes anti-IRGC — destrucción, no lucro.

UPCX perdió ~$70M de su tesorería tras que una cuenta admin comprometida en la plataforma de pagos open source impulsara una actualización maliciosa.

$8,4M drenados de Zoth, un protocolo de restaking RWA, tras que su clave de desplegador fuera comprometida y usada para impulsar una implementación maliciosa.

49,5 M$ drenados del vault Morpho MEVCapital USDC de Infini por la dirección que construyó el contrato y conservó la autoridad admin tras el lanzamiento.

~$73 M drenados de hot wallets de Phemex en 16 cadenas en un barrido coordinado — el primer gran hackeo de exchange de 2025, con TTPs consistentes con Lazarus.

$13,7 M drenados de hot wallets de M2 Exchange en BTC, ETH y Solana; identificados, contenidos y fondos de clientes restaurados en solo 16 minutos.

Un compromiso multi-chain estilo RPDC barrió $52M de las hot wallets de BingX en Ethereum, BNB Chain, Avalanche, Optimism y Polygon.

~20 M$ barridos del mayor exchange cripto de Indonesia en varias cadenas en un compromiso coordinado de hot wallet durante la racha de brechas de 2024.

~$55M drenados de las hot wallets de BtcTurk; Binance congeló ~$5,3M en tránsito — el mayor compromiso de un exchange turco hasta la fecha.

$22 M (158 BTC, 2.161 ETH, más LTC/BCH) drenados de Lykke en un compromiso de claves que el exchange británico ocultó; atribuido a Lazarus.

Un atacante usó un rol MINTER inactivo para acuñar 5 B GALA (216 M$), vendió 21,8 M$ antes del blacklist; los 4,4 B restantes están efectivamente quemados.

Una clave admin robada permitió al atacante añadirse como minter y producir 1,79 B PLA en dos golpes — nominal $290 M, solo $32 M cobrados con éxito.

Usuarios del agregador OKX DEX perdieron $2,7 M tras comprometerse una clave proxy-admin desactivada, actualizando el contrato a versión maliciosa.

Un compromiso único de operador drenó 87 M$ del puente HECO más 12 M$ de hot wallets de HTX, golpeando ambas plataformas de Justin Sun en 24 horas.

$114 M+ barridos de hot wallets de Ethereum y Tron de Poloniex tras extraer claves privadas de sistemas internos; Justin Sun prometió reembolso total.

$200 M drenados de hot wallets de Mixin Network tras comprometer al proveedor de nube que alojaba su base de datos centralizada — alarma de infraestructura.

$2,7 M drenados de las hot wallets del exchange P2P Remitano en USDT, ANK, USDC y ETH vía compromiso de clave privada; TTPs consistentes con Lazarus.

Lazarus drenó $54M de hot wallets de CoinEx en Ethereum, Tron, BSC y otras 7 cadenas, reutilizando infraestructura del golpe a Stake.com previo.

Stake.com perdió $41M de hot wallets en Ethereum, BSC y Polygon en 90 minutos; el FBI atribuyó formalmente el robo a Lazarus y listó 40 direcciones.

Un compromiso de claves drenó $60M de las hot wallets de AlphaPo en Tron, Bitcoin y Ethereum. El FBI atribuyó la brecha a Lazarus.

$125 M drenados de los contratos del puente Multichain tras el arresto del CEO Zhaojun; el equipo perdió acceso a claves MPC y todo apuntaba a interno.

Una operación de Lazarus apuntó al software de Atomic Wallet, no a semillas individuales, drenando $100M+ de ~5.500 usuarios y rompiendo la auto-custodia.

Un compromiso de clave de firma barrió $23M en ETH, QNT, GALA, SHIB, HOT y MATIC de la hot wallet de Bitrue, menos del 5% de los saldos.

Un atacante drenó 28 M$ de las hot wallets BTC/ETH/USDC de Deribit; el mayor exchange de opciones lo cubrió con su balance, sin tocar el cold storage.

Wintermute perdió $160M de una hot wallet cuya dirección vanity generada por Profanity usaba semilla PRNG de 32 bits que permitía fuerza bruta. Lo sabían.

Compromiso de claves privadas de validadores drenó 173.600 ETH y 25,5 M USDC del puente Ronin — el mayor hackeo cripto en ese momento.

Un compromiso de clave privada drenó 10 M$ de Dego Finance en Ethereum y BNB Chain, barriendo pools de liquidez y wallets de usuarios con aprobaciones activas.

148 billeteras de Vulcan Forged perdieron 4,5M PYR ($140M) tras que atacantes comprometieran la custodia Venly. Reembolsadas en su totalidad.

Un atacante drenó $77,7M en 78 tokens ERC-20 de hot wallets de AscendEX en Ethereum, BSC y Polygon, vinculado a una vulnerabilidad hardware de terceros.

Un solo compromiso de clave privada drenó $196M de dos hot wallets de Bitmart en Ethereum y BNB Chain; usuarios compensados desde reservas.

~97 M$ drenados de las wallets calientes de Liquid Global (Japón) en ETH, XRP, BTC y stablecoins; FTX dio un préstamo de 120 M$ y luego la adquirió.

Una clave desplegadora comprometida permitió acuñar ~373M BONDLY (~$5,9M) y volcarlos en liquidez, colapsando el token antes de la migración.

Atacantes comprometieron la máquina del CEO, extrajeron claves de su wallet admin MetaMask, acuñaron EASY y drenaron 80 M$+ de pools de liquidez en Polygon.

$5,7 M drenados de la hot wallet de Roll, colapsando docenas de tokens de creadores 'social money' a la vez vía un único compromiso de clave privada.

PAID Network sufrió un minteo de $27 M+ tras comprometerse la clave del deployer, re-minteando ~59 M PAID; el atacante vendió ~2,5 M por $3 M.

281 M$ drenados de hot wallets de KuCoin en BTC, ETH y ERC-20: el tercer mayor hackeo de exchange, operación de Lazarus; ~84% recuperado después.

Un compromiso de infraestructura de wallets barrió ~$16M en ETH y ERC-20s de 76.000+ usuarios de Cryptopia, matando al exchange neozelandés.