Ethereum — hackeos y exploits

Las bóvedas perp de Wasabi en Ethereum, Base, Berachain y Blast perdieron $5M cuando un EOA desplegador con ADMIN_ROLE único permitió upgrades UUPS.

292 M$ en rsETH sin respaldo acuñados tras explotar la configuración 1-de-1 de LayerZero DVN de KelpDAO; el mayor hackeo DeFi de 2026, TVL cayó 13 B$ después.

1.000 M de DOT bridgeados acuñados en Hyperbridge tras una verificación ausente en VerifyProof que dejó forjar pruebas MMR; pérdida realizada ~2,5 M$.

Resolv Labs perdió $25 M tras comprometerse sus claves AWS KMS; un depósito de $100K USDC minteó 50M USR y despegó la stablecoin un 74% en 17 minutos.

La bóveda BRO de Solv perdió $2,73M cuando un bug ERC-3525 de doble acuñación convirtió 135 BRO en ~567M BRO, intercambiados luego por 38 SolvBTC.

4,3 M$ drenados del puente ioTube de IoTeX por un compromiso de clave de validador; también acuñó 111 M CIOTX y 9,3 M CCS. IoTeX prometió compensación total.

$4,13 M extraídos del pool DUSD/USDC de Makina vía manipulación de MachineShareOracle con préstamo flash; white-hat recuperó 89% en una semana.

SagaEVM perdió $7M en 11 minutos cuando un bug de Ethermint permitió mensajes elaborados que minteaban Saga Dollar sin colateral y lo puenteaban a ETH.

Truebit perdió $26,4M cuando un desbordamiento entero en la curva de bonding de TRU de cinco años permitió acuñar TRU casi gratis y venderlo por 8.500 ETH.

Una actualización del oráculo creó una incompatibilidad de decimales 18-vs-8 en las bóvedas DOV de Ribbon en Aevo, drenando $2,7M. Bóvedas cerradas.

USPD, una stablecoin descentralizada nueva, perdió ~$1M por un fallo de mint/colateral que permitió acuñar sin respaldo, descabalgando el token brevemente.

El pool StableSwap yETH de Yearn acuñó 235 septillones de yETH desde un depósito de 16 wei tras que un retiro de liquidez dejara saldos virtuales cacheados.

Probable robo de clave dio a los atacantes el control del contrato de GANA Payment en BSC; manipularon tasas de recompensa y drenaron 3,1 M$ vía unstake.

Un descuido de control de acceso y un error de redondeo en la lógica de invariantes de Balancer v2 drenaron ~$120M, el mayor exploit DeFi de 2025.

SBI Crypto, el brazo minero de SBI Holdings, perdió $24M en BTC, ETH, LTC, DOGE y BCH. Sin detectar 7 días hasta que ZachXBT señaló patrón Lazarus.

GriffinAI, proyecto cripto de agentes IA, perdió ~3 M$ porque un fallo de bridge/mint dejó acuñar tokens GAIN sin respaldo y volcarlos, colapsando el precio.

UXLINK, un protocolo social Web3, perdió ~$41M tras que los atacantes comprometieran las claves multi-firma y explotaran un delegatecall sin restricciones.

Un error de redondeo en la función withdraw de Bunni DEX drenó $8,4M en Ethereum y Unichain tras juzgar mal los saldos ociosos. Protocolo cerrado.

Un compromiso de hot wallet en 7 cadenas drenó $48M del exchange turco BtcTurk, su segundo gran hackeo en 14 meses. El almacenamiento en frío quedó intacto.

Atacantes drenaron $44M de la cuenta interna de liquidez de CoinDCX usada para reservas con exchanges socios; el exchange absorbió la pérdida desde tesorería.

Atacantes comprometieron el backend de BigONE y reescribieron la lógica de riesgo para auto-aprobar retiradas, drenando $27M sin exponer claves.

$9,8 M drenados de Resupply en menos de 90 minutos cuando un préstamo flash de $4.000 explotó una bóveda wstUSR de 2 horas vía donación ERC-4626.

Más de $90 M drenados del mayor exchange de Irán por Predatory Sparrow, luego quemados a direcciones con mensajes anti-IRGC — destrucción, no lucro.

Un fallo de control de acceso drenó 3,76 M$ del Force Bridge de Nervos en Ethereum y BNB Chain; el botín se cambió a ETH y se lavó por Tornado y FixedFloat.

Un atacante drenó $12M (3.761 wstETH) de Cork Protocol creando un mercado que referenciaba el DS de otro, esquivando auth vía un hook de Uniswap v4.

Un fallo en el guard de overflow del mayor DEX de Sui permitió inyectar una posición minúscula que se leía como gigantesca, drenando $223M.

Zunami Protocol perdió ~$500K en un segundo incidente, 2 años después de su exploit de pool Curve de 2023, nuevamente por derivación de precio manipulable.

UPCX perdió ~$70M de su tesorería tras que una cuenta admin comprometida en la plataforma de pagos open source impulsara una actualización maliciosa.

$355K (todo el TVL) drenados del protocolo de trading apalancado SIR.trading vía mal uso de almacenamiento transitorio que suplantó el callback de Uniswap v3.

$8,4M drenados de Zoth, un protocolo de restaking RWA, tras que su clave de desplegador fuera comprometida y usada para impulsar una implementación maliciosa.

Un bug en un resolver Fusion v1 obsoleto permitió forjar calldata y drenar $5M de los TrustedVolumes de 1inch. Protocolo y fondos intactos.

49,5 M$ drenados del vault Morpho MEVCapital USDC de Infini por la dirección que construyó el contrato y conservó la autoridad admin tras el lanzamiento.

JavaScript malicioso en la UI de Safe{Wallet} drenó 401.000 ETH ($1,46B) de una transferencia desde cold wallet de Bybit, el mayor robo cripto.

~$73 M drenados de hot wallets de Phemex en 16 cadenas en un barrido coordinado — el primer gran hackeo de exchange de 2025, con TTPs consistentes con Lazarus.

The Idols NFT perdió ~$324K cuando un fallo contable de recompensas de staking permitió al atacante reclamar repetidamente más allá de lo debido.

$13,7 M drenados de hot wallets de M2 Exchange en BTC, ETH y Solana; identificados, contenidos y fondos de clientes restaurados en solo 16 minutos.

Tapioca DAO perdió $4,65M tras un miembro de Discord ser manipulado para conectar una hardware wallet; el atacante se apoderó de TAP/USDO. Recuperaron $2,7M.

Un compromiso multi-chain estilo RPDC barrió $52M de las hot wallets de BingX en Ethereum, BNB Chain, Avalanche, Optimism y Polygon.

Un fallo del oráculo de mensajes de Telegram permitió drenar $3M de 11 usuarios de Banana Gun vía transferencias manuales. Víctimas reembolsadas.

~20 M$ barridos del mayor exchange cripto de Indonesia en varias cadenas en un compromiso coordinado de hot wallet durante la racha de brechas de 2024.

~$27 M drenados de Penpie tras una brecha de reentrada en plugins de Pendle, permitiendo registrar un mercado malicioso y vaciar recompensas en una tx.

Una ballena cripto perdió $55,47M en DAI tras firmar una tx maliciosa en una copia phishing del login de DeFi Saver impulsada por Inferno Drainer.

Un bot MEV white-hat drenó $12 M del puente de Ronin vía falla de init en código muerto que dejó minimumVoteWeight en cero. Fondos devueltos por $500K.

WazirX perdió $234,9M de un Gnosis Safe 4-de-6 en el custodio Liminal cuando los atacantes explotaron un desajuste entre la UI de Liminal y el calldata firmado.

11,6 M$ drenados de usuarios con aprobaciones infinitas a LI.FI; un facet nuevo saltó una validación, dejando a cualquiera invocar contratos arbitrarios.

~$55M drenados de las hot wallets de BtcTurk; Binance congeló ~$5,3M en tránsito — el mayor compromiso de un exchange turco hasta la fecha.

Un fallo en el contrato operator de Holograph dejó a un atacante acuñar 1.000 M de tokens HLG, valor nominal de 14,4 M$. HLG cayó un 80% en nueve horas.

UwULend perdió $19,4M tras que un atacante manipulara 5 de 11 oráculos sUSDe vía swaps en Curve, endeudándose a $0,99 y luego liquidando a $1,03.

$22 M (158 BTC, 2.161 ETH, más LTC/BCH) drenados de Lykke en un compromiso de claves que el exchange británico ocultó; atribuido a Lazarus.

Un atacante usó un rol MINTER inactivo para acuñar 5 B GALA (216 M$), vendió 21,8 M$ antes del blacklist; los 4,4 B restantes están efectivamente quemados.

$1,9 M drenados de Pike Finance tras dejar contratos sin inicializar, permitiendo apoderarse de la propiedad y vaciar activos puenteados por CCIP.

ZKasino tomó 10.515 ETH ($33M) de 8.000+ usuarios bajo promesa de retorno 1:1 ETH, luego lo convirtió a ZKAS y stakeó en Lido por 15 meses. Fundador arrestado.

El vesting de Hedgey Finance perdió 44,7 M$ porque la falta de validación dejaba al atacante crear campañas cuyo callback aprobaba transferencias arbitrarias.

$11 M drenados del ayudante de migración de Trove de Prisma Finance tras saltarse migrate() y llamar a flashloan() directamente, luego exigió una disculpa.

Un atacante compró una posición nominal de CGT, explotó un fallo de un fork de MakerDAO para amplificar el voto y acuñó 1B de CGT (~$16M) en Curio.

Drenaron $2,1M del agregador DEX de Unizen vía una llamada externa insegura en una actualización reciente que afectó a usuarios con aprobaciones.

Drenaron $6,4M de usuarios de Seneca vía aprobaciones ilimitadas a su contrato Chamber, sin función de pausa. El atacante devolvió el 80% por recompensa.

Una clave admin robada permitió al atacante añadirse como minter y producir 1,79 B PLA en dos golpes — nominal $290 M, solo $32 M cobrados con éxito.

Un bug de redondeo en la contabilidad de deuda de los Cauldrons de Abracadabra permitió drenar $6,5M (2.740 ETH + 2,2M MIM) pagando deudas ajenas.

Drenaron $3,3M de usuarios del agregador Socket/Bungee vía una ruta SocketGateway no validada que llamó transferFrom en billeteras con aprobación infinita.

~$82 M drenados del puente cross-chain de Orbit Chain en Nochevieja después de comprometerse siete de diez firmantes multi-sig; pérdidas en Ethereum y Klaytn.

~220K$ drenados de HYPR Network tras un fallo de bridge/contrato que dejó al atacante extraer liquidez bridgeada: un fallo de puente pequeño pero limpio.

Usuarios del agregador OKX DEX perdieron $2,7 M tras comprometerse una clave proxy-admin desactivada, actualizando el contrato a versión maliciosa.

Un compromiso único de operador drenó 87 M$ del puente HECO más 12 M$ de hot wallets de HTX, golpeando ambas plataformas de Justin Sun en 24 horas.

54,7 M$ drenados de KyberSwap Elastic tras un error de redondeo en matemáticas de liquidez concentrada que dejó pools reconocer el doble de liquidez.

26 M$ drenados de Kronos Research (Taipéi) tras robar claves API (no claves privadas) que controlaban retiros programáticos; WOO suspendió el trading.

$114 M+ barridos de hot wallets de Ethereum y Tron de Poloniex tras extraer claves privadas de sistemas internos; Justin Sun prometió reembolso total.

$3,3 M de R minteados vía bug de redondeo en la lógica de colateral de Raft, pero el atacante falló el cash-out, quemando ~1.570 ETH. R se despegó.

Drenaron $640K de usuarios de Unibot vía un bug de aprobación en el nuevo router del bot de Telegram. Unibot reembolsó a los afectados.

$200 M drenados de hot wallets de Mixin Network tras comprometer al proveedor de nube que alojaba su base de datos centralizada — alarma de infraestructura.

$2,7 M drenados de las hot wallets del exchange P2P Remitano en USDT, ANK, USDC y ETH vía compromiso de clave privada; TTPs consistentes con Lazarus.

Lazarus drenó $54M de hot wallets de CoinEx en Ethereum, Tron, BSC y otras 7 cadenas, reutilizando infraestructura del golpe a Stake.com previo.

Stake.com perdió $41M de hot wallets en Ethereum, BSC y Polygon en 90 minutos; el FBI atribuyó formalmente el robo a Lazarus y listó 40 direcciones.

Un atacante explotó una reentrada de solo lectura en proveedores de tasa de pools boosted de Balancer tras una divulgación, drenando ~$2,1M.

~$1,3M en riesgo en Swerve Finance, fork inactivo de Curve cuya gobernanza de baja participación permitió a un atacante apoderarse de los fondos.

~$2,6M de ETH atascados o en riesgo en el puente Shibarium al lanzamiento tras un contrato mal configurado y sobrecarga de tráfico que dejó fondos inaccesibles.

$2,1M drenados de Zunami tras que los precios de sus stablecoins zETH y UZD, derivados de pools manipulables de Curve, fueran inflados con préstamo flash.

Un bloqueo de reentrada defectuoso en tres versiones del compilador Vyper expuso varios stablepools de Curve a un ataque clásico de reentrada.

Un compromiso de claves drenó $60M de las hot wallets de AlphaPo en Tron, Bitcoin y Ethereum. El FBI atribuyó la brecha a Lazarus.

El Omnipool ETH de Conic tenía guards de reentrada pero asumía una dirección ETH de Curve v2 específica. Un nuevo CurveLPOracleV2 se coló, drenando $3,2M.

$125 M drenados de los contratos del puente Multichain tras el arresto del CEO Zhaojun; el equipo perdió acceso a claves MPC y todo apuntaba a interno.

Drenaron $800K de Sturdy Finance vía una reentrada de solo lectura de Balancer que valoró mal el colateral B-stETH-STABLE. Fondos devueltos tras negociar.

Una operación de Lazarus apuntó al software de Atomic Wallet, no a semillas individuales, drenando $100M+ de ~5.500 usuarios y rompiendo la auto-custodia.

El DAO de Tornado Cash fue secuestrado tras que un atacante autodestruyera una propuesta aprobada y redesplegara código malicioso, sumando 1,2M votos.

El tercer incidente de DEUS DAO drenó 6,5 M$ en BNB, Arbitrum y Ethereum por un fallo de burnFrom/allowances en DEI que permitió abusar de las aprobaciones.

Un compromiso de clave de firma barrió $23M en ETH, QNT, GALA, SHIB, HOT y MATIC de la hot wallet de Bitrue, menos del 5% de los saldos.

Un contrato iEarn legado de Yearn mal configurado apuntando al token Fulcrum incorrecto acuñó 1,2Q yUSDT y drenó $11M de Aave v1 antes de que nadie lo notara.

Una falta de chequeo de acceso en RouteProcessor2 de Sushi permitió a bots drenar $3,3M en WETH de usuarios con aprobaciones antes del rescate white-hat.

Una health check ausente en donateToReserves de Euler permitió crear una posición autoliquidable y llevarse 197 M$, casi todo devuelto por el atacante.

Usuarios de Dexible perdieron 2 M$ porque selfSwap hacía llamadas externas arbitrarias con datos del usuario, drenando wallets con aprobaciones activas.

$3 M drenados de Orion en Ethereum y BSC tras aceptar doSwapThroughOrionPool rutas no validadas sin guarda de reentrada; un token falso infló saldos.

Una brecha de backups cifrados de LastPass llevó a un drenaje multianual a víctimas que guardaban seed phrases; las pérdidas pasaron de 35 M$ a más de 400 M$.

Una operación de SIM-swap drenó 477 M$ de wallets de FTX en horas tras la solicitud de Chapter 11, explotando el caos del mayor colapso cripto desde Mt. Gox.

Un atacante drenó 28 M$ de las hot wallets BTC/ETH/USDC de Deribit; el mayor exchange de opciones lo cubrió con su balance, sin tocar el cold storage.

Team Finance perdió $15,8M en migración Uniswap v2-a-v3: tokens bloqueados movidos a par v3 sesgado y reembolsados como 'sobrante' por $2.700 en gas.

Drenaron $2,3M del StaxLPStaking de TempleDAO tras que migrateStake() no validara al llamante, permitiendo migrar la posición completa de cualquier staker.

Usuarios de Transit Swap con aprobaciones infinitas perdieron $21M cuando claimTokens no validaba el token a llamar en transferFrom. 70% devuelto.

Wintermute perdió $160M de una hot wallet cuya dirección vanity generada por Profanity usaba semilla PRNG de 32 bits que permitía fuerza bruta. Lo sabían.

Atacantes hijackearon el DNS de curve.fi vía el registrador y sirvieron un frontend con wallet-drainer, robando ~$575K. Contratos intactos.

Una actualización rutinaria marcó el hash cero como raíz válida, convirtiendo cada mensaje de Nomad en un retiro que cualquiera podía copiar y pegar.

Un atacante explotó un fallo del inicializador de Audius para auto-delegarse 10 billones de AUDIO y aprobar una propuesta que drenó $6M de la tesorería.

Lazarus comprometió 2 de 5 claves multi-firma del puente cross-chain de Harmony y drenó 100 M$; el quorum 2-de-5 estaba por debajo de su perfil de riesgo.

Una reentrada en exitMarket() drenó 80 M$ de los pools Fuse de Rari Capital, una función que el equipo olvidó proteger al parchear reentrada el mes anterior.

El metapool sUSDv2 de Saddle perdió $11,9 M cuando un bug conocido de MetaSwapUtils se redesplegó por error; bots de BlockSec rescataron $3,97 M.

Un préstamo flash de $1B compró el 67% de la gobernanza de Beanstalk en un bloque, aprobando una propuesta que drenó la tesorería. Neto: $76M de $182M.

15,6 M$ drenados de Inverse Finance al manipular su oráculo Keep3r INV/ETH vía un bundle de mempool privado, esquivando el TWAP en un solo bloque invisible.

$2 M drenados de Revest Finance vía reentrada en mintAddressLock/depositAdditionalToFNFT que permitió al atacante mintear NFTs sobrevalorados y redimirlos.

Compromiso de claves privadas de validadores drenó 173.600 ETH y 25,5 M USDC del puente Ronin — el mayor hackeo cripto en ese momento.

Un compromiso de clave privada drenó 10 M$ de Dego Finance en Ethereum y BNB Chain, barriendo pools de liquidez y wallets de usuarios con aprobaciones activas.

Un bypass de verificación de firmas en el lado Solana de Wormhole permitió al atacante acuñar 120.000 wETH de la nada — sin colateral en Ethereum.

Un atacante engañó al puente BSC de Qubit para mintear 77.162 qXETH ($185 M nominales) sin depositar ETH, pidiendo prestados 206.809 BNB ($80 M).

Un exploit de bypass del 2FA drenó $34M de 483 cuentas de Crypto.com; los atacantes autorizaron transacciones sin que el 2FA se solicitara al usuario.

Un fallo de contabilidad de distribución de recompensas en Bent Finance permitió reclamar ~$1,7M muy por encima de lo asignado antes del pause.

El contrato de staking de Visor Finance perdió $8,2M por reentrada en delegateTransferERC20. VISR cayó 95% el mismo día; Visor migró a nuevo token.

148 billeteras de Vulcan Forged perdieron 4,5M PYR ($140M) tras que atacantes comprometieran la custodia Venly. Reembolsadas en su totalidad.

Un atacante drenó $77,7M en 78 tokens ERC-20 de hot wallets de AscendEX en Ethereum, BSC y Polygon, vinculado a una vulnerabilidad hardware de terceros.

Un solo compromiso de clave privada drenó $196M de dos hot wallets de Bitmart en Ethereum y BNB Chain; usuarios compensados desde reservas.

Una clave API de Cloudflare comprometida permitió inyectar aprobaciones maliciosas en el frontend de BadgerDAO dos semanas, drenando $120M de wallets.

$31 M drenados de los pools de MonoX cuando el atacante intercambió un token consigo mismo, inflando MONO en el oráculo hasta vaciar los pools.

La manipulación de precio de yUSD con préstamo flash permitió pedir prestado contra $1B en colateral falso y drenar $130M de Cream, su 3er exploit de 2021.

16 M$ drenados de los pools DEFI5 y CC10 vía préstamo flash a la matemática de rebalanceo; el atacante adolescente montó una defensa 'code is law' en Canadá.

Un bug en la Propuesta 62 de Compound pagó hasta $147M de recompensas COMP no previstas. La mayoría se devolvió; una parte se quedó.

JayPegs Automart, esquema NFT de 'trading automatizado' en Ethereum, hizo exit scam por ~3,1 M$ durante la manía NFT, drenando depósitos y desapareciendo.

Una función init() desprotegida en los contratos de vesting de DAO Maker permitió a un atacante apoderarse del rol owner y drenar 4 M$ de pools de usuarios.

$18,8M drenados de Cream Finance v1 vía un bug de reentrada en el hook de transferencia ERC-777 del token AMP — el segundo de los tres exploits de 2021.

~97 M$ drenados de las wallets calientes de Liquid Global (Japón) en ETH, XRP, BTC y stablecoins; FTX dio un préstamo de 120 M$ y luego la adquirió.

Un bug en el contrato cross-chain manager permitió al atacante cambiar la clave pública del keeper y retirar $611 M de tres cadenas — devueltos en su totalidad.

$9 M drenados de Punk Protocol tras el lanzamiento vía delegatecall a Initialize estableciendo al atacante como forge; $5 M rescatados por white-hats.

$20,7 M drenados del pool Sorbetto Fragola de Popsicle tras transferencias de participaciones engañar al contrato para deber recompensas iguales al TVL.

$13M+ drenados de THORChain en dos ataques con una semana de diferencia, ambos explotando fallos de depósito falso en el puente Bifrost durante Chaosnet.

Una clave desplegadora comprometida permitió acuñar ~373M BONDLY (~$5,9M) y volcarlos en liquidez, colapsando el token antes de la migración.

Una vulnerabilidad en el puente Ethereum-BSC de ChainSwap permitió acuñar arbitrariamente 20+ tokens; $4M drenados, tokens cayeron 95%+.

Un atacante detectó un k repetido en dos firmas de BSC, recalculó la clave privada MPC de Anyswap V3 y drenó $7,9M de sus pools del router cross-chain.

Un bug del script de despliegue creó bóvedas fantasma en Alchemix que desviaron $6,5M en recompensas para pagar deudas. Mint congelado en 15 min.

xToken perdió $24M cuando xSNXa y xBNTa se valoraban desde pools manipulables; un préstamo flash permitió acuñar tokens baratos y canjear el subyacente real.

2.600 ETH ($10 M, 60% del pool) drenados del Ethereum Pool de Rari tras la integración ibETH de Alpha Finance permitir reentrada por llamadas externas.

Atacantes comprometieron la máquina del CEO, extrajeron claves de su wallet admin MetaMask, acuñaron EASY y drenaron 80 M$+ de pools de liquidez en Polygon.

$5,7 M drenados de la hot wallet de Roll, colapsando docenas de tokens de creadores 'social money' a la vez vía un único compromiso de clave privada.

Los Crowdpools V2 de DODO perdieron 3,8 M$ al re-llamarse init() con un token falso; sin guard de reinicialización. Bots MEV adelantaron ~1,9 M$.

PAID Network sufrió un minteo de $27 M+ tras comprometerse la clave del deployer, re-minteando ~59 M PAID; el atacante vendió ~2,5 M por $3 M.

Usuarios de Furucombo perdieron 14 M$ tras engañar al proxy para hacer delegatecall a una 'implementación Aave v2' maliciosa que barrió cada saldo aprobado.

Préstamo flash manipuló los precios gToken/stkToken en la estrategia de yield de Growth DeFi, extrayendo ~1,3 M$ de reservas a tasas sesgadas ('The Big Combo').

Un contrato 'spell' explotó un bug de redondeo de borrow-share para acumular cero shares contra deuda cySUSD real, drenando $37,5M en Alpha/Iron Bank.

La bóveda yDAI de Yearn perdió $11M (atacante ganó $2,8M) cuando una secuencia de 11 tx con préstamo flash sesgó el precio DAI del 3pool de Curve.

Saddle Finance perdió ~$276K en una hora tras el lanzamiento cuando un stableswap defectuoso permitió a arbitrajistas intercambiar a tasas mal tasadas.

Un bug Solidity storage/memory en el Blacksmith de Cover acuñó 40 trillones de COVER, hundiendo el precio de $700 a menos de $5. White-hat devolvió fondos.

Warp Finance perdió $7,8M valorando colateral en tokens LP de Uniswap desde reservas spot manipulables; un préstamo flash infló el valor LP.

El equipo de Compounder Finance subió una actualización maliciosa que cambió la lógica del pool por una función de drenaje, robando $12M en depósitos.

Compound liquidó $89M en posiciones sobrecolateralizadas tras que DAI cotizara a $1,30 en Coinbase Pro, única fuente del oráculo. Sin hackeo.

$19,76 M DAI drenados de Pickle Finance tras crear el atacante dos 'Jar' falsos y explotar la falta de lista blanca en swapExactJarForJar.

$7,7 M drenados de la bóveda OUSD dos meses tras el lanzamiento vía reentrada con stablecoin falsa, introducida cuando un refactor eliminó una comprobación.

La bóveda MultiStables de Value DeFi perdió $7M por una manipulación con préstamo flash del precio Curve 3pool, un caso canónico temprano del patrón.

Un ERC-20 falso con transferFrom re-entrante permitió re-entrar en el depósito de Akropolis y acuñar $2M en shares sin entregar colateral real.

Treinta bucles de manipulación en Curve YPool con un préstamo flash de 50 M$ USDC extrajeron 24 M$ de Harvest Finance; el exploit causó un bank run de 570 M$.

El proyecto Eminence de Andre Cronje perdió 15 M$ por un exploit de préstamo flash horas después de un teaser. Se devolvieron 8 M$. El contrato era no auditado.

281 M$ drenados de hot wallets de KuCoin en BTC, ETH y ERC-20: el tercer mayor hackeo de exchange, operación de Lazarus; ~84% recuperado después.

El primer ataque con préstamo flash conocido drenó ~$954K de bZx dos veces en 4 días, usando préstamos de Aave para manipular precios del oráculo de Uniswap.

El mayor exchange cripto de Canadá colapsó cuando su CEO 'murió' en India con acceso exclusivo a ~$190 M en fondos; los reguladores lo llamaron Ponzi.

Un compromiso de infraestructura de wallets barrió ~$16M en ETH y ERC-20s de 76.000+ usuarios de Cryptopia, matando al exchange neozelandés.

Dos incidentes con cuatro meses: una falla en initWallet drenó $30 M, luego un usuario suicidó la biblioteca, congelando más de $150 M en 151 multi-sigs.

The DAO perdió 3,6M ETH ($50M) por el bug de reentrada de libro, el robo que dividió Ethereum en ETH y Ethereum Classic.