Ataques de Fallo de smart contract en Arbitrum

Un fallo tipo reentrada en la lógica de precios de GLP en GMX v1 dejó al atacante drenar ~42 M$, casi todo devuelto días después a cambio de una recompensa.

Un atacante drenó $13M (6.260 ETH) de los Cauldrons GM de Abracadabra orquestando un depósito GMX fallido, autoliquidándose y re-prestando el colateral.

11,6 M$ drenados de usuarios con aprobaciones infinitas a LI.FI; un facet nuevo saltó una validación, dejando a cualquiera invocar contratos arbitrarios.

$1,9 M drenados de Pike Finance tras dejar contratos sin inicializar, permitiendo apoderarse de la propiedad y vaciar activos puenteados por CCIP.

El vesting de Hedgey Finance perdió 44,7 M$ porque la falta de validación dejaba al atacante crear campañas cuyo callback aprobaba transferencias arbitrarias.

Drenaron $6,4M de usuarios de Seneca vía aprobaciones ilimitadas a su contrato Chamber, sin función de pausa. El atacante devolvió el 80% por recompensa.

54,7 M$ drenados de KyberSwap Elastic tras un error de redondeo en matemáticas de liquidez concentrada que dejó pools reconocer el doble de liquidez.

El tercer incidente de DEUS DAO drenó 6,5 M$ en BNB, Arbitrum y Ethereum por un fallo de burnFrom/allowances en DEI que permitió abusar de las aprobaciones.

Una falta de chequeo de acceso en RouteProcessor2 de Sushi permitió a bots drenar $3,3M en WETH de usuarios con aprobaciones antes del rescate white-hat.

Usuarios de Dexible perdieron 2 M$ porque selfSwap hacía llamadas externas arbitrarias con datos del usuario, drenando wallets con aprobaciones activas.

~$1,4M en NFTs robados del marketplace de TreasureDAO tras que la función buy no comprobara que la cantidad produjera un precio distinto de cero.