Polygon — hackeos y exploits

Un compromiso de hot wallet en 7 cadenas drenó $48M del exchange turco BtcTurk, su segundo gran hackeo en 14 meses. El almacenamiento en frío quedó intacto.

~$73 M drenados de hot wallets de Phemex en 16 cadenas en un barrido coordinado — el primer gran hackeo de exchange de 2025, con TTPs consistentes con Lazarus.

Un compromiso multi-chain estilo RPDC barrió $52M de las hot wallets de BingX en Ethereum, BNB Chain, Avalanche, Optimism y Polygon.

~20 M$ barridos del mayor exchange cripto de Indonesia en varias cadenas en un compromiso coordinado de hot wallet durante la racha de brechas de 2024.

54,7 M$ drenados de KyberSwap Elastic tras un error de redondeo en matemáticas de liquidez concentrada que dejó pools reconocer el doble de liquidez.

Lazarus drenó $54M de hot wallets de CoinEx en Ethereum, Tron, BSC y otras 7 cadenas, reutilizando infraestructura del golpe a Stake.com previo.

Stake.com perdió $41M de hot wallets en Ethereum, BSC y Polygon en 90 minutos; el FBI atribuyó formalmente el robo a Lazarus y listó 40 direcciones.

Una falta de chequeo de acceso en RouteProcessor2 de Sushi permitió a bots drenar $3,3M en WETH de usuarios con aprobaciones antes del rescate white-hat.

Reportar un precio absurdo de WALBT al oráculo Tellor de BonqDAO (coste: 10 TRB) acuñó $120M y colapsó el TVL un 99,66% en una transacción.

Midas Capital en Polygon perdió $660K por una reentrada de solo lectura en Curve que tasó mal el LP jBRL/BRZ, permitiendo prestar contra valor inflado.

Drenaron $8,7M de Superfluid tras pasar un 'context' malicioso a su contrato host que permitió suplantar al llamante y ejecutar flujos privilegiados.

148 billeteras de Vulcan Forged perdieron 4,5M PYR ($140M) tras que atacantes comprometieran la custodia Venly. Reembolsadas en su totalidad.

Un atacante drenó $77,7M en 78 tokens ERC-20 de hot wallets de AscendEX en Ethereum, BSC y Polygon, vinculado a una vulnerabilidad hardware de terceros.

$31 M drenados de los pools de MonoX cuando el atacante intercambió un token consigo mismo, inflando MONO en el oráculo hasta vaciar los pools.

Un phishing con macro de Word en la máquina de un dev permitió a atacantes vinculados a Lazarus drenar $55M de los despliegues de bZx en Polygon y BSC.

Un bug en el contrato cross-chain manager permitió al atacante cambiar la clave pública del keeper y retirar $611 M de tres cadenas — devueltos en su totalidad.

~$248K drenados de SafeDollar en Polygon vía una falla en cálculo de recompensas que vació reservas SDO/USDC y rompió la paridad.

Atacantes comprometieron la máquina del CEO, extrajeron claves de su wallet admin MetaMask, acuñaron EASY y drenaron 80 M$+ de pools de liquidez en Polygon.