Fallo de smart contract

Rhea Finance en NEAR perdió $18,4 M tras una preparación de dos días con tokens falsos, 423 billeteras y 8 pools Ref que explotaron suma de slippage.

La bóveda BRO de Solv perdió $2,73M cuando un bug ERC-3525 de doble acuñación convirtió 135 BRO en ~567M BRO, intercambiados luego por 38 SolvBTC.

SagaEVM perdió $7M en 11 minutos cuando un bug de Ethermint permitió mensajes elaborados que minteaban Saga Dollar sin colateral y lo puenteaban a ETH.

TMXTribe, un protocolo de staking/recompensas, perdió ~$1,4M cuando un fallo contable de distribución permitió al atacante reclamar repetidamente en exceso.

Truebit perdió $26,4M cuando un desbordamiento entero en la curva de bonding de TRU de cinco años permitió acuñar TRU casi gratis y venderlo por 8.500 ETH.

Una actualización del oráculo creó una incompatibilidad de decimales 18-vs-8 en las bóvedas DOV de Ribbon en Aevo, drenando $2,7M. Bóvedas cerradas.

USPD, una stablecoin descentralizada nueva, perdió ~$1M por un fallo de mint/colateral que permitió acuñar sin respaldo, descabalgando el token brevemente.

El pool StableSwap yETH de Yearn acuñó 235 septillones de yETH desde un depósito de 16 wei tras que un retiro de liquidez dejara saldos virtuales cacheados.

Un descuido de control de acceso y un error de redondeo en la lógica de invariantes de Balancer v2 drenaron ~$120M, el mayor exploit DeFi de 2025.

Un error de redondeo en la función withdraw de Bunni DEX drenó $8,4M en Ethereum y Unichain tras juzgar mal los saldos ociosos. Protocolo cerrado.

Odin.fun, launchpad de memecoins en Bitcoin, perdió ~$7 M cuando los atacantes manipularon la contabilidad de la curva de bonding para drenar pools BTC.

Un fallo en la distribución de comisiones/recompensas permitió drenar $5M de los pools de BetterBank en PulseChain. Recuperación parcial posterior.

Un fallo en la lógica de mint de tokens de crédito de Credix Finance en BSC permitió acuñar y canjear contra posiciones fabricadas, drenando $4,5M.

Un fallo tipo reentrada en la lógica de precios de GLP en GMX v1 dejó al atacante drenar ~42 M$, casi todo devuelto días después a cambio de una recompensa.

$9,8 M drenados de Resupply en menos de 90 minutos cuando un préstamo flash de $4.000 explotó una bóveda wstUSR de 2 horas vía donación ERC-4626.

Un fallo en el self-listing drenó $8,37M (hasta $16,2M con tokens ALEX) de ALEX Protocol en Stacks: segundo gran incidente en 13 meses.

Un atacante drenó $12M (3.761 wstETH) de Cork Protocol creando un mercado que referenciaba el DS de otro, esquivando auth vía un hook de Uniswap v4.

Un fallo en el guard de overflow del mayor DEX de Sui permitió inyectar una posición minúscula que se leía como gigantesca, drenando $223M.

$2,15 M drenados de MobiusDAO en BNB Chain tras un doble escalado 10^18 que permitió mintear 9,73 cuatrillones de MBU con 0,01 BNB; vía Tornado Cash.

$355K (todo el TVL) drenados del protocolo de trading apalancado SIR.trading vía mal uso de almacenamiento transitorio que suplantó el callback de Uniswap v3.

Un atacante drenó $13M (6.260 ETH) de los Cauldrons GM de Abracadabra orquestando un depósito GMX fallido, autoliquidándose y re-prestando el colateral.

Un bug en un resolver Fusion v1 obsoleto permitió forjar calldata y drenar $5M de los TrustedVolumes de 1inch. Protocolo y fondos intactos.

ZeroLend perdió ~$371K por un clásico ataque de inflación con donación a un mercado recién listado que carecía de un depósito inicial protector.

$9,5M drenados de zkLend en Starknet vía un bug de redondeo de precisión en su librería safeMath; el redondeo repetido infló raw_balance hasta vaciar los pools.

The Idols NFT perdió ~$324K cuando un fallo contable de recompensas de staking permitió al atacante reclamar repetidamente más allá de lo debido.

11,6 M$ drenados de usuarios con aprobaciones infinitas a LI.FI; un facet nuevo saltó una validación, dejando a cualquiera invocar contratos arbitrarios.

Un fallo en el contrato operator de Holograph dejó a un atacante acuñar 1.000 M de tokens HLG, valor nominal de 14,4 M$. HLG cayó un 80% en nueve horas.

Los pools CPMM de Velocore en zkSync y Linea perdieron $6,8M cuando un desbordamiento del multiplicador de comisión permitió acuñar enorme oferta LP.

Sonne Finance perdió $20M en Optimism por un 'ataque de donación', un exploit conocido de forks de Compound v2 al desplegar y sembrar un mercado.

$1,9 M drenados de Pike Finance tras dejar contratos sin inicializar, permitiendo apoderarse de la propiedad y vaciar activos puenteados por CCIP.

El vesting de Hedgey Finance perdió 44,7 M$ porque la falta de validación dejaba al atacante crear campañas cuyo callback aprobaba transferencias arbitrarias.

Drenaron $4,8M de Super Sushi Samurai en Blast tras un bug de transferencia que duplicaba el saldo en auto-transferencias. Un white-hat lo descubrió primero.

Drenaron $2,1M del agregador DEX de Unizen vía una llamada externa insegura en una actualización reciente que afectó a usuarios con aprobaciones.

Drenaron $6,4M de usuarios de Seneca vía aprobaciones ilimitadas a su contrato Chamber, sin función de pausa. El atacante devolvió el 80% por recompensa.

Drenaron $3,3M de usuarios del agregador Socket/Bungee vía una ruta SocketGateway no validada que llamó transferFrom en billeteras con aprobación infinita.

54,7 M$ drenados de KyberSwap Elastic tras un error de redondeo en matemáticas de liquidez concentrada que dejó pools reconocer el doble de liquidez.

$3,3 M de R minteados vía bug de redondeo en la lógica de colateral de Raft, pero el atacante falló el cash-out, quemando ~1.570 ETH. R se despegó.

Drenaron $640K de usuarios de Unibot vía un bug de aprobación en el nuevo router del bot de Telegram. Unibot reembolsó a los afectados.

~$2,2 M drenados de Platypus Finance en un grupo de exploits de octubre que golpearon el stableswap de Avalanche vía lógica defectuosa de solvencia/retirada.

Drenaron $2,9M de Stars Arena, una app SocialFi estilo friend.tech en Avalanche, por un fallo en la lógica de precio/retiro durante el auge del SocialFi.

Un atacante pasó un mercado falso y un permit forjado al DebtManager de Exactly en Optimism; leverage() no validó nada, drenando 7,3 M$ de 117 cuentas.

El tercer incidente de DEUS DAO drenó 6,5 M$ en BNB, Arbitrum y Ethereum por un fallo de burnFrom/allowances en DEI que permitió abusar de las aprobaciones.

Level Finance en BNB Chain perdió 1,1 M$ porque LevelReferralControllerV2 pagaba recompensas sin marcar la época reclamada, permitiendo reclamaciones repetidas.

Hundred Finance en Optimism perdió 7 M$ por un ataque de donación: un bug de redondeo en el fork de Compound v2 dejó vaciar el pool con hWBTC mínimo.

Un contrato iEarn legado de Yearn mal configurado apuntando al token Fulcrum incorrecto acuñó 1,2Q yUSDT y drenó $11M de Aave v1 antes de que nadie lo notara.

Una falta de chequeo de acceso en RouteProcessor2 de Sushi permitió a bots drenar $3,3M en WETH de usuarios con aprobaciones antes del rescate white-hat.

SafeMoon perdió $8,9 M de su pool WBNB tras una actualización que dejó burn() pública. Quemar el LP del pool infló SFM y luego drenó WBNB.

Una health check ausente en donateToReserves de Euler permitió crear una posición autoliquidable y llevarse 197 M$, casi todo devuelto por el atacante.

Pools de Hedera Hashgraph perdieron ~515K$ por un bug del decompilador del Smart Contract Service que dejaba al atacante sacar tokens HTS. Hedera pausó la red.

Usuarios de Dexible perdieron 2 M$ porque selfSwap hacía llamadas externas arbitrarias con datos del usuario, drenando wallets con aprobaciones activas.

Drenaron $3,2M de Skyward Finance en NEAR por un fallo contable de tesorería que permitió al atacante canjear SKYWARD repetidamente contra el mismo saldo.

Team Finance perdió $15,8M en migración Uniswap v2-a-v3: tokens bloqueados movidos a par v3 sesgado y reembolsados como 'sobrante' por $2.700 en gas.

Drenaron $2,3M del StaxLPStaking de TempleDAO tras que migrateStake() no validara al llamante, permitiendo migrar la posición completa de cualquier staker.

Usuarios de Transit Swap con aprobaciones infinitas perdieron $21M cuando claimTokens no validaba el token a llamar en transferFrom. 70% devuelto.

Una cuenta tick falsa esquivó el owner check de Crema y cosechó comisiones ficticias vía CLMM, drenando $9,6M en Solana. $8M devueltos en acuerdo white-hat.

Gym Network en BNB Chain perdió 2,1 M$ porque una función de depósito aceptó una firma de referidor sin validar, dejando al atacante acuñar enormes recompensas.

El metapool sUSDv2 de Saddle perdió $11,9 M cuando un bug conocido de MetaSwapUtils se redesplegó por error; bots de BlockSec rescataron $3,97 M.

Dos comprobaciones de colateral faltantes permitieron acuñar 2.000 millones de stablecoins CASH falsos en Cashio, hundiendo el TVL de $48M a cero.

~$1,4M en NFTs robados del marketplace de TreasureDAO tras que la función buy no comprobara que la cantidad produjera un precio distinto de cero.

Drenaron $8,7M de Superfluid tras pasar un 'context' malicioso a su contrato host que permitió suplantar al llamante y ejecutar flujos privilegiados.

~$3M drenados de Tinyman, el AMM principal de Algorand, vía un fallo de lógica de swap/burn en operaciones de tokens de pool que permitió extraer activos.

Un fallo de contabilidad de distribución de recompensas en Bent Finance permitió reclamar ~$1,7M muy por encima de lo asignado antes del pause.

$31 M drenados de los pools de MonoX cuando el atacante intercambió un token consigo mismo, inflando MONO en el oráculo hasta vaciar los pools.

$90 M drenados de Mirror Protocol en Terra vía desbloqueos de colateral con IDs duplicados; pasó desapercibido siete meses hasta el colapso de Terra.

Un bug en la Propuesta 62 de Compound pagó hasta $147M de recompensas COMP no previstas. La mayoría se devolvió; una parte se quedó.

Una función init() desprotegida en los contratos de vesting de DAO Maker permitió a un atacante apoderarse del rol owner y drenar 4 M$ de pools de usuarios.

Un bug en el contrato cross-chain manager permitió al atacante cambiar la clave pública del keeper y retirar $611 M de tres cadenas — devueltos en su totalidad.

$9 M drenados de Punk Protocol tras el lanzamiento vía delegatecall a Initialize estableciendo al atacante como forge; $5 M rescatados por white-hats.

~$248K drenados de SafeDollar en Polygon vía una falla en cálculo de recompensas que vació reservas SDO/USDC y rompió la paridad.

Un fallo en la ruta emergencyBurn/retiro del vault nerveBUSD de Eleven Finance permitió retirar fondos sin quemar las shares, drenando ~4,5 M$ en BNB Chain.

~3,7 M$ drenados de Impossible Finance en BNB Chain por un fallo del swap router que dejó al atacante swapear repetidamente contra reservas obsoletas en una tx.

Un bug del script de despliegue creó bóvedas fantasma en Alchemix que desviaron $6,5M en recompensas para pagar deudas. Mint congelado en 15 min.

$57,2M extraídos de Uranium Finance por una constante mal puesta en la migración v2.1 (1.000.000 vs 10.000) que permitió swap de 1 wei por 98% de los pools.

Los Crowdpools V2 de DODO perdieron 3,8 M$ al re-llamarse init() con un token falso; sin guard de reinicialización. Bots MEV adelantaron ~1,9 M$.

Usuarios de Furucombo perdieron 14 M$ tras engañar al proxy para hacer delegatecall a una 'implementación Aave v2' maliciosa que barrió cada saldo aprobado.

Saddle Finance perdió ~$276K en una hora tras el lanzamiento cuando un stableswap defectuoso permitió a arbitrajistas intercambiar a tasas mal tasadas.

Un bug Solidity storage/memory en el Blacksmith de Cover acuñó 40 trillones de COVER, hundiendo el precio de $700 a menos de $5. White-hat devolvió fondos.

$19,76 M DAI drenados de Pickle Finance tras crear el atacante dos 'Jar' falsos y explotar la falta de lista blanca en swapExactJarForJar.

Dos incidentes con cuatro meses: una falla en initWallet drenó $30 M, luego un usuario suicidó la biblioteca, congelando más de $150 M en 151 multi-sigs.