BNB Chain — hackeos y exploits

1.000 M de DOT bridgeados acuñados en Hyperbridge tras una verificación ausente en VerifyProof que dejó forjar pruebas MMR; pérdida realizada ~2,5 M$.

Un usuario de Venus Protocol fue phishieado para delegar el control de cuenta, perdiendo ~$3,7M de su posición. Los contratos de Venus no fueron tocados.

TMXTribe, un protocolo de staking/recompensas, perdió ~$1,4M cuando un fallo contable de distribución permitió al atacante reclamar repetidamente en exceso.

Probable robo de clave dio a los atacantes el control del contrato de GANA Payment en BSC; manipularon tasas de recompensa y drenaron 3,1 M$ vía unstake.

GriffinAI, proyecto cripto de agentes IA, perdió ~3 M$ porque un fallo de bridge/mint dejó acuñar tokens GAIN sin respaldo y volcarlos, colapsando el precio.

~$2 M rug-pulled de New Gold Protocol, proyecto 'respaldado en oro' en BNB Chain cuya autoridad privilegiada drenó depósitos antes de desaparecer.

Un fallo en la lógica de mint de tokens de crédito de Credix Finance en BSC permitió acuñar y canjear contra posiciones fabricadas, drenando $4,5M.

Más de $90 M drenados del mayor exchange de Irán por Predatory Sparrow, luego quemados a direcciones con mensajes anti-IRGC — destrucción, no lucro.

Un fallo de control de acceso drenó 3,76 M$ del Force Bridge de Nervos en Ethereum y BNB Chain; el botín se cambió a ETH y se lavó por Tornado y FixedFloat.

$2,15 M drenados de MobiusDAO en BNB Chain tras un doble escalado 10^18 que permitió mintear 9,73 cuatrillones de MBU con 0,01 BNB; vía Tornado Cash.

7,5 M$ extraídos de perps de KiloEX en Base, opBNB y BSC porque el MinimalForwarder se saltó verificaciones; posiciones abiertas a 100$, cerradas a 10.000$.

~$73 M drenados de hot wallets de Phemex en 16 cadenas en un barrido coordinado — el primer gran hackeo de exchange de 2025, con TTPs consistentes con Lazarus.

$53 M drenados de un multi-sig 3-de-11 de Radiant tras malware macOS en tres firmantes; la UI de Safe mostraba txs limpias mientras se firmaban actualizaciones.

Un compromiso multi-chain estilo RPDC barrió $52M de las hot wallets de BingX en Ethereum, BNB Chain, Avalanche, Optimism y Polygon.

~20 M$ barridos del mayor exchange cripto de Indonesia en varias cadenas en un compromiso coordinado de hot wallet durante la racha de brechas de 2024.

~220K$ drenados de HYPR Network tras un fallo de bridge/contrato que dejó al atacante extraer liquidez bridgeada: un fallo de puente pequeño pero limpio.

Lazarus drenó $54M de hot wallets de CoinEx en Ethereum, Tron, BSC y otras 7 cadenas, reutilizando infraestructura del golpe a Stake.com previo.

Stake.com perdió $41M de hot wallets en Ethereum, BSC y Polygon en 90 minutos; el FBI atribuyó formalmente el robo a Lazarus y listó 40 direcciones.

Una función oculta withdrawFunds solo para el deployer drenó 1,6 M$ en depósitos del contrato de staking de DeFiLabs en BNB Chain antes de desaparecer.

$125 M drenados de los contratos del puente Multichain tras el arresto del CEO Zhaojun; el equipo perdió acceso a claves MPC y todo apuntaba a interno.

Una propuesta de gobernanza aprobada en silencio en BSC otorgó al atacante allowances de gasto sobre cada wallet de Atlantis Loans, drenando $2,5M.

Una operación de Lazarus apuntó al software de Atomic Wallet, no a semillas individuales, drenando $100M+ de ~5.500 usuarios y rompiendo la auto-custodia.

El tercer incidente de DEUS DAO drenó 6,5 M$ en BNB, Arbitrum y Ethereum por un fallo de burnFrom/allowances en DEI que permitió abusar de las aprobaciones.

Level Finance en BNB Chain perdió 1,1 M$ porque LevelReferralControllerV2 pagaba recompensas sin marcar la época reclamada, permitiendo reclamaciones repetidas.

SafeMoon perdió $8,9 M de su pool WBNB tras una actualización que dejó burn() pública. Quemar el LP del pool infló SFM y luego drenó WBNB.

$3 M drenados de Orion en Ethereum y BSC tras aceptar doSwapThroughOrionPool rutas no validadas sin guarda de reentrada; un token falso infló saldos.

Una clave de dev robada permitió acuñar 60 billones de aBNBc, que Helio aceptó como colateral para prestar $16M de HAY antes del freeze de $3M de Binance.

Una verificación de prueba Merkle defectuosa en el puente nativo de BSC permitió forjar retiradas por 2M BNB antes de que los validadores pausaran la cadena.

Usuarios de Transit Swap con aprobaciones infinitas perdieron $21M cuando claimTokens no validaba el token a llamar en transferFrom. 70% devuelto.

Gym Network en BNB Chain perdió 2,1 M$ porque una función de depósito aceptó una firma de referidor sin validar, dejando al atacante acuñar enormes recompensas.

Fortress Protocol en BNB Chain perdió 3 M$ tras manipular FTS vía un oráculo delgado y una propuesta de gobernanza que fijó factores de colateral arbitrarios.

DEUS DAO perdió 13,4 M$ al valorar el colateral DEI desde un par Solidly DEI/USDC que un atacante con préstamo flash movió para vaciar las reservas de préstamo.

~$1,7 M drenados de Paraluni en BNB Chain tras aceptar la función de depósito un token no validado sin guarda de reentrada, dejando reingresar a un token falso.

Un compromiso de clave privada drenó 10 M$ de Dego Finance en Ethereum y BNB Chain, barriendo pools de liquidez y wallets de usuarios con aprobaciones activas.

El puente Meter Passport perdió $4,4 M cuando su manejador de depósitos aceptó un monto de token wrapped sin respaldo, minteando BNB/ETH puenteados.

Un atacante engañó al puente BSC de Qubit para mintear 77.162 qXETH ($185 M nominales) sin depositar ETH, pidiendo prestados 206.809 BNB ($80 M).

Un rug pull drenó ~$1,75M de 8ight Finance: los operadores usaron autoridad privilegiada para vaciar los depósitos y desaparecieron.

Un atacante drenó $77,7M en 78 tokens ERC-20 de hot wallets de AscendEX en Ethereum, BSC y Polygon, vinculado a una vulnerabilidad hardware de terceros.

Un solo compromiso de clave privada drenó $196M de dos hot wallets de Bitmart en Ethereum y BNB Chain; usuarios compensados desde reservas.

Un phishing con macro de Word en la máquina de un dev permitió a atacantes vinculados a Lazarus drenar $55M de los despliegues de bZx en Polygon y BSC.

Un compromiso de clave admin permitió retirar $139M de liquidez del DEX BXH en BSC, una de las pérdidas más grandes y poco recordadas de 2021.

Un bug en el contrato cross-chain manager permitió al atacante cambiar la clave pública del keeper y retirar $611 M de tres cadenas — devueltos en su totalidad.

$13M+ drenados de THORChain en dos ataques con una semana de diferencia, ambos explotando fallos de depósito falso en el puente Bifrost durante Chaosnet.

Una vulnerabilidad en el puente Ethereum-BSC de ChainSwap permitió acuñar arbitrariamente 20+ tokens; $4M drenados, tokens cayeron 95%+.

Un atacante detectó un k repetido en dos firmas de BSC, recalculó la clave privada MPC de Anyswap V3 y drenó $7,9M de sus pools del router cross-chain.

Un fallo en la ruta emergencyBurn/retiro del vault nerveBUSD de Eleven Finance permitió retirar fondos sin quemar las shares, drenando ~4,5 M$ en BNB Chain.

~3,7 M$ drenados de Impossible Finance en BNB Chain por un fallo del swap router que dejó al atacante swapear repetidamente contra reservas obsoletas en una tx.

Wault Finance en BNB Chain perdió ~$1M cuando una manipulación con préstamo flash del precio WUSD/WEX permitió acuñar y canjear a tasas sesgadas.

Préstamos flash de $385M manipularon una estrategia beltBUSD, distorsionando el precio de la share para extraer $6,23M de $50M en pérdidas totales.

BurgerSwap en BSC no validaba tokens del path de swap, permitiendo que el callback de un token falso re-entrara y drenara $7,2M en reservas.

Múltiples exploits en 2021 (~$680K+) de Merlin Labs en BNB Chain, optimizador cuyo precio de estrategia y recompensas fue manipulado vía préstamos flash.

Manipulación de precio SHARK/BNB con préstamo flash infló la recompensa de AutoShark, drenando ~$745K en BSC: repetición casi exacta de PancakeBunny.

$45 M extraídos de PancakeBunny cuando un préstamo flash de $704 M manipuló el oráculo BUNNY/BNB y minteó ~7 M BUNNY de la nada; BUNNY cayó 95% en minutos.

Spartan Protocol perdió $30M en BSC por un cálculo de participación de liquidez defectuoso, el primer gran ataque con préstamo flash en BSC.

$57,2M extraídos de Uranium Finance por una constante mal puesta en la migración v2.1 (1.000.000 vs 10.000) que permitió swap de 1 wei por 98% de los pools.

Un préstamo flash manipuló el precio TRUNK/BUSD y ELEPHANT en el mecanismo de compra/venta de Elephant Money en BNB Chain, drenando ~22 M$ a tasas sesgadas.

Los Crowdpools V2 de DODO perdieron 3,8 M$ al re-llamarse init() con un token falso; sin guard de reinicialización. Bots MEV adelantaron ~1,9 M$.

Préstamo flash manipuló los precios gToken/stkToken en la estrategia de yield de Growth DeFi, extrayendo ~1,3 M$ de reservas a tasas sesgadas ('The Big Combo').