2021El año en brechas

Un rug pull drenó ~$1,75M de 8ight Finance: los operadores usaron autoridad privilegiada para vaciar los depósitos y desaparecieron.

Un fallo de contabilidad de distribución de recompensas en Bent Finance permitió reclamar ~$1,7M muy por encima de lo asignado antes del pause.

El contrato de staking de Visor Finance perdió $8,2M por reentrada en delegateTransferERC20. VISR cayó 95% el mismo día; Visor migró a nuevo token.

Los vaults de Grim Finance en Fantom perdieron 30 M$ por reentrada de 5 bucles en depositFor. El TVL colapsó de 98,9 M$ a 4,2 M$.

148 billeteras de Vulcan Forged perdieron 4,5M PYR ($140M) tras que atacantes comprometieran la custodia Venly. Reembolsadas en su totalidad.

Un atacante drenó $77,7M en 78 tokens ERC-20 de hot wallets de AscendEX en Ethereum, BSC y Polygon, vinculado a una vulnerabilidad hardware de terceros.

Un solo compromiso de clave privada drenó $196M de dos hot wallets de Bitmart en Ethereum y BNB Chain; usuarios compensados desde reservas.

Una clave API de Cloudflare comprometida permitió inyectar aprobaciones maliciosas en el frontend de BadgerDAO dos semanas, drenando $120M de wallets.

$31 M drenados de los pools de MonoX cuando el atacante intercambió un token consigo mismo, inflando MONO en el oráculo hasta vaciar los pools.

El memecoin de Avalanche SDOG perdió $18M ante insiders que conocían la 'challengeKey' del DEX durante la recompra, drenándolo antes que el retail.

Un phishing con macro de Word en la máquina de un dev permitió a atacantes vinculados a Lazarus drenar $55M de los despliegues de bZx en Polygon y BSC.

Un compromiso de clave admin permitió retirar $139M de liquidez del DEX BXH en BSC, una de las pérdidas más grandes y poco recordadas de 2021.

La manipulación de precio de yUSD con préstamo flash permitió pedir prestado contra $1B en colateral falso y drenar $130M de Cream, su 3er exploit de 2021.

16 M$ drenados de los pools DEFI5 y CC10 vía préstamo flash a la matemática de rebalanceo; el atacante adolescente montó una defensa 'code is law' en Canadá.

$90 M drenados de Mirror Protocol en Terra vía desbloqueos de colateral con IDs duplicados; pasó desapercibido siete meses hasta el colapso de Terra.

Un bug en la Propuesta 62 de Compound pagó hasta $147M de recompensas COMP no previstas. La mayoría se devolvió; una parte se quedó.

JayPegs Automart, esquema NFT de 'trading automatizado' en Ethereum, hizo exit scam por ~3,1 M$ durante la manía NFT, drenando depósitos y desapareciendo.

Vee Finance en Avalanche perdió $35M una semana tras lanzar cuando una manipulación de Pangolin bypasseó un slippage con un bug de decimales señalado.

Una función init() desprotegida en los contratos de vesting de DAO Maker permitió a un atacante apoderarse del rol owner y drenar 4 M$ de pools de usuarios.

$18,8M drenados de Cream Finance v1 vía un bug de reentrada en el hook de transferencia ERC-777 del token AMP — el segundo de los tres exploits de 2021.

~97 M$ drenados de las wallets calientes de Liquid Global (Japón) en ETH, XRP, BTC y stablecoins; FTX dio un préstamo de 120 M$ y luego la adquirió.

Un bug en el contrato cross-chain manager permitió al atacante cambiar la clave pública del keeper y retirar $611 M de tres cadenas — devueltos en su totalidad.

$9 M drenados de Punk Protocol tras el lanzamiento vía delegatecall a Initialize estableciendo al atacante como forge; $5 M rescatados por white-hats.

$20,7 M drenados del pool Sorbetto Fragola de Popsicle tras transferencias de participaciones engañar al contrato para deber recompensas iguales al TVL.

~1,5 M$ drenados de Levyathan Finance en Fantom tras filtrarse la clave del deployer (al parecer a un repo público), dejando a un atacante acuñar LEV ilimitado.

$13M+ drenados de THORChain en dos ataques con una semana de diferencia, ambos explotando fallos de depósito falso en el puente Bifrost durante Chaosnet.

Una clave desplegadora comprometida permitió acuñar ~373M BONDLY (~$5,9M) y volcarlos en liquidez, colapsando el token antes de la migración.

Una vulnerabilidad en el puente Ethereum-BSC de ChainSwap permitió acuñar arbitrariamente 20+ tokens; $4M drenados, tokens cayeron 95%+.

Un atacante detectó un k repetido en dos firmas de BSC, recalculó la clave privada MPC de Anyswap V3 y drenó $7,9M de sus pools del router cross-chain.

~$248K drenados de SafeDollar en Polygon vía una falla en cálculo de recompensas que vació reservas SDO/USDC y rompió la paridad.

Un fallo en la ruta emergencyBurn/retiro del vault nerveBUSD de Eleven Finance permitió retirar fondos sin quemar las shares, drenando ~4,5 M$ en BNB Chain.

~3,7 M$ drenados de Impossible Finance en BNB Chain por un fallo del swap router que dejó al atacante swapear repetidamente contra reservas obsoletas en una tx.

Un bug del script de despliegue creó bóvedas fantasma en Alchemix que desviaron $6,5M en recompensas para pagar deudas. Mint congelado en 15 min.

Wault Finance en BNB Chain perdió ~$1M cuando una manipulación con préstamo flash del precio WUSD/WEX permitió acuñar y canjear a tasas sesgadas.

Préstamos flash de $385M manipularon una estrategia beltBUSD, distorsionando el precio de la share para extraer $6,23M de $50M en pérdidas totales.

BurgerSwap en BSC no validaba tokens del path de swap, permitiendo que el callback de un token falso re-entrara y drenara $7,2M en reservas.

Múltiples exploits en 2021 (~$680K+) de Merlin Labs en BNB Chain, optimizador cuyo precio de estrategia y recompensas fue manipulado vía préstamos flash.

Manipulación de precio SHARK/BNB con préstamo flash infló la recompensa de AutoShark, drenando ~$745K en BSC: repetición casi exacta de PancakeBunny.

$45 M extraídos de PancakeBunny cuando un préstamo flash de $704 M manipuló el oráculo BUNNY/BNB y minteó ~7 M BUNNY de la nada; BUNNY cayó 95% en minutos.

xToken perdió $24M cuando xSNXa y xBNTa se valoraban desde pools manipulables; un préstamo flash permitió acuñar tokens baratos y canjear el subyacente real.

2.600 ETH ($10 M, 60% del pool) drenados del Ethereum Pool de Rari tras la integración ibETH de Alpha Finance permitir reentrada por llamadas externas.

Spartan Protocol perdió $30M en BSC por un cálculo de participación de liquidez defectuoso, el primer gran ataque con préstamo flash en BSC.

$57,2M extraídos de Uranium Finance por una constante mal puesta en la migración v2.1 (1.000.000 vs 10.000) que permitió swap de 1 wei por 98% de los pools.

Atacantes comprometieron la máquina del CEO, extrajeron claves de su wallet admin MetaMask, acuñaron EASY y drenaron 80 M$+ de pools de liquidez en Polygon.

Un préstamo flash manipuló el precio TRUNK/BUSD y ELEPHANT en el mecanismo de compra/venta de Elephant Money en BNB Chain, drenando ~22 M$ a tasas sesgadas.

$5,7 M drenados de la hot wallet de Roll, colapsando docenas de tokens de creadores 'social money' a la vez vía un único compromiso de clave privada.

Los Crowdpools V2 de DODO perdieron 3,8 M$ al re-llamarse init() con un token falso; sin guard de reinicialización. Bots MEV adelantaron ~1,9 M$.

PAID Network sufrió un minteo de $27 M+ tras comprometerse la clave del deployer, re-minteando ~59 M PAID; el atacante vendió ~2,5 M por $3 M.

Usuarios de Furucombo perdieron 14 M$ tras engañar al proxy para hacer delegatecall a una 'implementación Aave v2' maliciosa que barrió cada saldo aprobado.

Préstamo flash manipuló los precios gToken/stkToken en la estrategia de yield de Growth DeFi, extrayendo ~1,3 M$ de reservas a tasas sesgadas ('The Big Combo').

Un contrato 'spell' explotó un bug de redondeo de borrow-share para acumular cero shares contra deuda cySUSD real, drenando $37,5M en Alpha/Iron Bank.

La bóveda yDAI de Yearn perdió $11M (atacante ganó $2,8M) cuando una secuencia de 11 tx con préstamo flash sesgó el precio DAI del 3pool de Curve.

Saddle Finance perdió ~$276K en una hora tras el lanzamiento cuando un stableswap defectuoso permitió a arbitrajistas intercambiar a tasas mal tasadas.