Hackeos en BNB Chain en 2021

Un rug pull drenó ~$1,75M de 8ight Finance: los operadores usaron autoridad privilegiada para vaciar los depósitos y desaparecieron.

Un atacante drenó $77,7M en 78 tokens ERC-20 de hot wallets de AscendEX en Ethereum, BSC y Polygon, vinculado a una vulnerabilidad hardware de terceros.

Un solo compromiso de clave privada drenó $196M de dos hot wallets de Bitmart en Ethereum y BNB Chain; usuarios compensados desde reservas.

Un phishing con macro de Word en la máquina de un dev permitió a atacantes vinculados a Lazarus drenar $55M de los despliegues de bZx en Polygon y BSC.

Un compromiso de clave admin permitió retirar $139M de liquidez del DEX BXH en BSC, una de las pérdidas más grandes y poco recordadas de 2021.

Un bug en el contrato cross-chain manager permitió al atacante cambiar la clave pública del keeper y retirar $611 M de tres cadenas — devueltos en su totalidad.

$13M+ drenados de THORChain en dos ataques con una semana de diferencia, ambos explotando fallos de depósito falso en el puente Bifrost durante Chaosnet.

Una vulnerabilidad en el puente Ethereum-BSC de ChainSwap permitió acuñar arbitrariamente 20+ tokens; $4M drenados, tokens cayeron 95%+.

Un atacante detectó un k repetido en dos firmas de BSC, recalculó la clave privada MPC de Anyswap V3 y drenó $7,9M de sus pools del router cross-chain.

Un fallo en la ruta emergencyBurn/retiro del vault nerveBUSD de Eleven Finance permitió retirar fondos sin quemar las shares, drenando ~4,5 M$ en BNB Chain.

~3,7 M$ drenados de Impossible Finance en BNB Chain por un fallo del swap router que dejó al atacante swapear repetidamente contra reservas obsoletas en una tx.

Wault Finance en BNB Chain perdió ~$1M cuando una manipulación con préstamo flash del precio WUSD/WEX permitió acuñar y canjear a tasas sesgadas.

Préstamos flash de $385M manipularon una estrategia beltBUSD, distorsionando el precio de la share para extraer $6,23M de $50M en pérdidas totales.

BurgerSwap en BSC no validaba tokens del path de swap, permitiendo que el callback de un token falso re-entrara y drenara $7,2M en reservas.

Múltiples exploits en 2021 (~$680K+) de Merlin Labs en BNB Chain, optimizador cuyo precio de estrategia y recompensas fue manipulado vía préstamos flash.

Manipulación de precio SHARK/BNB con préstamo flash infló la recompensa de AutoShark, drenando ~$745K en BSC: repetición casi exacta de PancakeBunny.

$45 M extraídos de PancakeBunny cuando un préstamo flash de $704 M manipuló el oráculo BUNNY/BNB y minteó ~7 M BUNNY de la nada; BUNNY cayó 95% en minutos.

Spartan Protocol perdió $30M en BSC por un cálculo de participación de liquidez defectuoso, el primer gran ataque con préstamo flash en BSC.

$57,2M extraídos de Uranium Finance por una constante mal puesta en la migración v2.1 (1.000.000 vs 10.000) que permitió swap de 1 wei por 98% de los pools.

Un préstamo flash manipuló el precio TRUNK/BUSD y ELEPHANT en el mecanismo de compra/venta de Elephant Money en BNB Chain, drenando ~22 M$ a tasas sesgadas.

Los Crowdpools V2 de DODO perdieron 3,8 M$ al re-llamarse init() con un token falso; sin guard de reinicialización. Bots MEV adelantaron ~1,9 M$.

Préstamo flash manipuló los precios gToken/stkToken en la estrategia de yield de Growth DeFi, extrayendo ~1,3 M$ de reservas a tasas sesgadas ('The Big Combo').