2020El año en brechas

Un bug Solidity storage/memory en el Blacksmith de Cover acuñó 40 trillones de COVER, hundiendo el precio de $700 a menos de $5. White-hat devolvió fondos.

Warp Finance perdió $7,8M valorando colateral en tokens LP de Uniswap desde reservas spot manipulables; un préstamo flash infló el valor LP.

El equipo de Compounder Finance subió una actualización maliciosa que cambió la lógica del pool por una función de drenaje, robando $12M en depósitos.

Compound liquidó $89M en posiciones sobrecolateralizadas tras que DAI cotizara a $1,30 en Coinbase Pro, única fuente del oráculo. Sin hackeo.

$19,76 M DAI drenados de Pickle Finance tras crear el atacante dos 'Jar' falsos y explotar la falta de lista blanca en swapExactJarForJar.

$7,7 M drenados de la bóveda OUSD dos meses tras el lanzamiento vía reentrada con stablecoin falsa, introducida cuando un refactor eliminó una comprobación.

La bóveda MultiStables de Value DeFi perdió $7M por una manipulación con préstamo flash del precio Curve 3pool, un caso canónico temprano del patrón.

Un ERC-20 falso con transferFrom re-entrante permitió re-entrar en el depósito de Akropolis y acuñar $2M en shares sin entregar colateral real.

Treinta bucles de manipulación en Curve YPool con un préstamo flash de 50 M$ USDC extrajeron 24 M$ de Harvest Finance; el exploit causó un bank run de 570 M$.

El proyecto Eminence de Andre Cronje perdió 15 M$ por un exploit de préstamo flash horas después de un teaser. Se devolvieron 8 M$. El contrato era no auditado.

281 M$ drenados de hot wallets de KuCoin en BTC, ETH y ERC-20: el tercer mayor hackeo de exchange, operación de Lazarus; ~84% recuperado después.

El primer ataque con préstamo flash conocido drenó ~$954K de bZx dos veces en 4 días, usando préstamos de Aave para manipular precios del oráculo de Uniswap.