Ataques de Fallo de smart contract en 2021

Un fallo de contabilidad de distribución de recompensas en Bent Finance permitió reclamar ~$1,7M muy por encima de lo asignado antes del pause.

$31 M drenados de los pools de MonoX cuando el atacante intercambió un token consigo mismo, inflando MONO en el oráculo hasta vaciar los pools.

$90 M drenados de Mirror Protocol en Terra vía desbloqueos de colateral con IDs duplicados; pasó desapercibido siete meses hasta el colapso de Terra.

Un bug en la Propuesta 62 de Compound pagó hasta $147M de recompensas COMP no previstas. La mayoría se devolvió; una parte se quedó.

Una función init() desprotegida en los contratos de vesting de DAO Maker permitió a un atacante apoderarse del rol owner y drenar 4 M$ de pools de usuarios.

Un bug en el contrato cross-chain manager permitió al atacante cambiar la clave pública del keeper y retirar $611 M de tres cadenas — devueltos en su totalidad.

$9 M drenados de Punk Protocol tras el lanzamiento vía delegatecall a Initialize estableciendo al atacante como forge; $5 M rescatados por white-hats.

~$248K drenados de SafeDollar en Polygon vía una falla en cálculo de recompensas que vació reservas SDO/USDC y rompió la paridad.

Un fallo en la ruta emergencyBurn/retiro del vault nerveBUSD de Eleven Finance permitió retirar fondos sin quemar las shares, drenando ~4,5 M$ en BNB Chain.

~3,7 M$ drenados de Impossible Finance en BNB Chain por un fallo del swap router que dejó al atacante swapear repetidamente contra reservas obsoletas en una tx.

Un bug del script de despliegue creó bóvedas fantasma en Alchemix que desviaron $6,5M en recompensas para pagar deudas. Mint congelado en 15 min.

$57,2M extraídos de Uranium Finance por una constante mal puesta en la migración v2.1 (1.000.000 vs 10.000) que permitió swap de 1 wei por 98% de los pools.

Los Crowdpools V2 de DODO perdieron 3,8 M$ al re-llamarse init() con un token falso; sin guard de reinicialización. Bots MEV adelantaron ~1,9 M$.

Usuarios de Furucombo perdieron 14 M$ tras engañar al proxy para hacer delegatecall a una 'implementación Aave v2' maliciosa que barrió cada saldo aprobado.

Saddle Finance perdió ~$276K en una hora tras el lanzamiento cuando un stableswap defectuoso permitió a arbitrajistas intercambiar a tasas mal tasadas.