Arbitrum — hackeos y exploits

1.000 M de DOT bridgeados acuñados en Hyperbridge tras una verificación ausente en VerifyProof que dejó forjar pruebas MMR; pérdida realizada ~2,5 M$.

UXLINK, un protocolo social Web3, perdió ~$41M tras que los atacantes comprometieran las claves multi-firma y explotaran un delegatecall sin restricciones.

Un compromiso de hot wallet en 7 cadenas drenó $48M del exchange turco BtcTurk, su segundo gran hackeo en 14 meses. El almacenamiento en frío quedó intacto.

Un fallo tipo reentrada en la lógica de precios de GLP en GMX v1 dejó al atacante drenar ~42 M$, casi todo devuelto días después a cambio de una recompensa.

Un atacante drenó $13M (6.260 ETH) de los Cauldrons GM de Abracadabra orquestando un depósito GMX fallido, autoliquidándose y re-prestando el colateral.

Moby Trade, protocolo de opciones en Arbitrum, perdió ~$1 M tras comprometerse una clave privilegiada para amañar liquidaciones. SEAL limitó los daños.

$53 M drenados de un multi-sig 3-de-11 de Radiant tras malware macOS en tres firmantes; la UI de Safe mostraba txs limpias mientras se firmaban actualizaciones.

DeltaPrime perdió 6 M$ en Arbitrum tras filtrarse una clave única; el equipo usaba multi-firma en Avalanche pero no en Arbitrum. ZachXBT lo vinculó a Lazarus.

11,6 M$ drenados de usuarios con aprobaciones infinitas a LI.FI; un facet nuevo saltó una validación, dejando a cualquiera invocar contratos arbitrarios.

$1,9 M drenados de Pike Finance tras dejar contratos sin inicializar, permitiendo apoderarse de la propiedad y vaciar activos puenteados por CCIP.

El vesting de Hedgey Finance perdió 44,7 M$ porque la falta de validación dejaba al atacante crear campañas cuyo callback aprobaba transferencias arbitrarias.

WOOFi Swap en Arbitrum perdió $8,75M cuando el atacante vio que el oráculo Chainlink de WOO nunca se configuró y el sPMM aceptaba cualquier precio.

Drenaron $6,4M de usuarios de Seneca vía aprobaciones ilimitadas a su contrato Chamber, sin función de pausa. El atacante devolvió el 80% por recompensa.

Orange Finance en Arbitrum perdió ~$844K tras comprometerse su clave admin, usada para alterar estrategias y retirar posiciones de Uniswap v3.

Gamma Strategies en Arbitrum perdió 6,1 M$ porque una verificación débil del proxy de depósito permitió a un préstamo flash sesgar el ratio y retirar de más.

54,7 M$ drenados de KyberSwap Elastic tras un error de redondeo en matemáticas de liquidez concentrada que dejó pools reconocer el doble de liquidez.

Drenaron $1,14M de Steadefi en Arbitrum y Avalanche tras un compromiso de la clave privada del desplegador que permitió al atacante apoderarse de las bóvedas.

7,5 M$ extraídos de Jimbo's Protocol en Arbitrum tras un fallo de slippage en JimboController.shift() que dejó a un préstamo flash drenar el ETH del piso.

Rug pull de $3M en Swaprum en Arbitrum, un fork de Arbiswap cuyos contratos auditados ocultaban un proxy actualizable con una función add() de backdoor.

El tercer incidente de DEUS DAO drenó 6,5 M$ en BNB, Arbitrum y Ethereum por un fallo de burnFrom/allowances en DEI que permitió abusar de las aprobaciones.

Una falta de chequeo de acceso en RouteProcessor2 de Sushi permitió a bots drenar $3,3M en WETH de usuarios con aprobaciones antes del rescate white-hat.

Hope Finance perdió 1,86 M$ en su lanzamiento en Arbitrum porque el contrato desplegado difería del auditado; los fondos fueron directos a Tornado Cash.

Usuarios de Dexible perdieron 2 M$ porque selfSwap hacía llamadas externas arbitrarias con datos del usuario, drenando wallets con aprobaciones activas.

Una reentrada de solo lectura en remove_liquidity de Curve drenó 3,65 M$ del pool wstETH/ETH de dForce en Arbitrum y Optimism. Un sombrero blanco devolvió todo.

Lodestar en Arbitrum perdió 6,5 M$ porque su oráculo plvGLP ignoró donate() inflando activos GLP, dejando pedir prestado contra colateral inflado 83%.

Lodestar en Arbitrum perdió $6,5 M tras manipular el oráculo plvGLP, que leía el estado del pool GLP directamente, para inflar colateral y vaciar reservas.

~$1,4M en NFTs robados del marketplace de TreasureDAO tras que la función buy no comprobara que la cantidad produjera un precio distinto de cero.

Arbix Finance en Arbitrum, auditado por Certik, acuñó 10M de ARBX a direcciones del atacante, drenó $10M en depósitos y borró toda su presencia web y social.