Ataques de Reentrancy en Ethereum

~$27 M drenados de Penpie tras una brecha de reentrada en plugins de Pendle, permitiendo registrar un mercado malicioso y vaciar recompensas en una tx.

Un atacante explotó una reentrada de solo lectura en proveedores de tasa de pools boosted de Balancer tras una divulgación, drenando ~$2,1M.

El Omnipool ETH de Conic tenía guards de reentrada pero asumía una dirección ETH de Curve v2 específica. Un nuevo CurveLPOracleV2 se coló, drenando $3,2M.

Drenaron $800K de Sturdy Finance vía una reentrada de solo lectura de Balancer que valoró mal el colateral B-stETH-STABLE. Fondos devueltos tras negociar.

$3 M drenados de Orion en Ethereum y BSC tras aceptar doSwapThroughOrionPool rutas no validadas sin guarda de reentrada; un token falso infló saldos.

Una reentrada en exitMarket() drenó 80 M$ de los pools Fuse de Rari Capital, una función que el equipo olvidó proteger al parchear reentrada el mes anterior.

$2 M drenados de Revest Finance vía reentrada en mintAddressLock/depositAdditionalToFNFT que permitió al atacante mintear NFTs sobrevalorados y redimirlos.

El contrato de staking de Visor Finance perdió $8,2M por reentrada en delegateTransferERC20. VISR cayó 95% el mismo día; Visor migró a nuevo token.

$18,8M drenados de Cream Finance v1 vía un bug de reentrada en el hook de transferencia ERC-777 del token AMP — el segundo de los tres exploits de 2021.

2.600 ETH ($10 M, 60% del pool) drenados del Ethereum Pool de Rari tras la integración ibETH de Alpha Finance permitir reentrada por llamadas externas.

$7,7 M drenados de la bóveda OUSD dos meses tras el lanzamiento vía reentrada con stablecoin falsa, introducida cuando un refactor eliminó una comprobación.

Un ERC-20 falso con transferFrom re-entrante permitió re-entrar en el depósito de Akropolis y acuñar $2M en shares sin entregar colateral real.

The DAO perdió 3,6M ETH ($50M) por el bug de reentrada de libro, el robo que dividió Ethereum en ETH y Ethereum Classic.