Drenaje del protocolo de privacidad Hinkal
Un atacante drenó 820.000 dólares en USDC del protocolo Hinkal —casi todo su TVL multicadena— mediante depósitos 'proofless' no verificados, y luego lo lavó vía Tornado Cash y THORChain.
Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.
Un atacante drenó 820.000 dólares en USDC del protocolo Hinkal —casi todo su TVL multicadena— mediante depósitos 'proofless' no verificados, y luego lo lavó vía Tornado Cash y THORChain.
Un atacante con un flash loan infló ~78x el tipo de cambio interno de wGOOGLx en Edel Finance y pidió prestado contra colateral ficticio, dejando unos 403.000 dólares de deuda incobrable.
Un fallo de control de acceso (confused deputy) en el módulo de terceros SquidRouterModule permitió drenar unos 3,8 millones de dólares de 88 billeteras Gnosis Safe en Ethereum, Base y Arbitrum.
~$10,8M drenados de las bóvedas Asgard de THORChain en 9 cadenas por una falla del esquema GG20 (TSS) explotada por un operador de nodo malicioso.
Las bóvedas perp de Wasabi en Ethereum, Base, Berachain y Blast perdieron $5M cuando un EOA desplegador con ADMIN_ROLE único permitió upgrades UUPS.
1.000 M de DOT bridgeados acuñados en Hyperbridge tras una verificación ausente en VerifyProof que dejó forjar pruebas MMR; pérdida realizada ~2,5 M$.
~$1,78 M drenados de Moonwell en Base tras un mercado recién listado usar un feed con desajuste de decimales, tasando mal el colateral.
Un compromiso de hot wallet en 7 cadenas drenó $48M del exchange turco BtcTurk, su segundo gran hackeo en 14 meses. El almacenamiento en frío quedó intacto.
7,5 M$ extraídos de perps de KiloEX en Base, opBNB y BSC porque el MinimalForwarder se saltó verificaciones; posiciones abiertas a 100$, cerradas a 10.000$.
Una reentrada en el withdraw del Rebalancer de Clober DEX en Base permitió re-entrar antes del asiento contable LP, drenando $500K en exceso.
Grand Base, proyecto RWA en Base, perdió 2 M$ tras comprometerse o abusarse la clave del deployer; el atacante acuñó GB ilimitado y drenó el pool de liquidez.
54,7 M$ drenados de KyberSwap Elastic tras un error de redondeo en matemáticas de liquidez concentrada que dejó pools reconocer el doble de liquidez.
$869K drenados de RocketSwap en Base tras una brecha de servidor que entregó tanto las claves encriptadas como la lógica de descifrado del script.
El desarrollador del memecoin BALD retiró liquidez en la testnet Base de Coinbase, embolsándose $5,9M de beneficio y dejando $23M en pérdidas para inversores.