Hackeos en Ethereum en 2021

Un fallo de contabilidad de distribución de recompensas en Bent Finance permitió reclamar ~$1,7M muy por encima de lo asignado antes del pause.

El contrato de staking de Visor Finance perdió $8,2M por reentrada en delegateTransferERC20. VISR cayó 95% el mismo día; Visor migró a nuevo token.

148 billeteras de Vulcan Forged perdieron 4,5M PYR ($140M) tras que atacantes comprometieran la custodia Venly. Reembolsadas en su totalidad.

Un atacante drenó $77,7M en 78 tokens ERC-20 de hot wallets de AscendEX en Ethereum, BSC y Polygon, vinculado a una vulnerabilidad hardware de terceros.

Un solo compromiso de clave privada drenó $196M de dos hot wallets de Bitmart en Ethereum y BNB Chain; usuarios compensados desde reservas.

Una clave API de Cloudflare comprometida permitió inyectar aprobaciones maliciosas en el frontend de BadgerDAO dos semanas, drenando $120M de wallets.

$31 M drenados de los pools de MonoX cuando el atacante intercambió un token consigo mismo, inflando MONO en el oráculo hasta vaciar los pools.

La manipulación de precio de yUSD con préstamo flash permitió pedir prestado contra $1B en colateral falso y drenar $130M de Cream, su 3er exploit de 2021.

16 M$ drenados de los pools DEFI5 y CC10 vía préstamo flash a la matemática de rebalanceo; el atacante adolescente montó una defensa 'code is law' en Canadá.

Un bug en la Propuesta 62 de Compound pagó hasta $147M de recompensas COMP no previstas. La mayoría se devolvió; una parte se quedó.

JayPegs Automart, esquema NFT de 'trading automatizado' en Ethereum, hizo exit scam por ~3,1 M$ durante la manía NFT, drenando depósitos y desapareciendo.

Una función init() desprotegida en los contratos de vesting de DAO Maker permitió a un atacante apoderarse del rol owner y drenar 4 M$ de pools de usuarios.

$18,8M drenados de Cream Finance v1 vía un bug de reentrada en el hook de transferencia ERC-777 del token AMP — el segundo de los tres exploits de 2021.

~97 M$ drenados de las wallets calientes de Liquid Global (Japón) en ETH, XRP, BTC y stablecoins; FTX dio un préstamo de 120 M$ y luego la adquirió.

Un bug en el contrato cross-chain manager permitió al atacante cambiar la clave pública del keeper y retirar $611 M de tres cadenas — devueltos en su totalidad.

$9 M drenados de Punk Protocol tras el lanzamiento vía delegatecall a Initialize estableciendo al atacante como forge; $5 M rescatados por white-hats.

$20,7 M drenados del pool Sorbetto Fragola de Popsicle tras transferencias de participaciones engañar al contrato para deber recompensas iguales al TVL.

$13M+ drenados de THORChain en dos ataques con una semana de diferencia, ambos explotando fallos de depósito falso en el puente Bifrost durante Chaosnet.

Una clave desplegadora comprometida permitió acuñar ~373M BONDLY (~$5,9M) y volcarlos en liquidez, colapsando el token antes de la migración.

Una vulnerabilidad en el puente Ethereum-BSC de ChainSwap permitió acuñar arbitrariamente 20+ tokens; $4M drenados, tokens cayeron 95%+.

Un atacante detectó un k repetido en dos firmas de BSC, recalculó la clave privada MPC de Anyswap V3 y drenó $7,9M de sus pools del router cross-chain.

Un bug del script de despliegue creó bóvedas fantasma en Alchemix que desviaron $6,5M en recompensas para pagar deudas. Mint congelado en 15 min.

xToken perdió $24M cuando xSNXa y xBNTa se valoraban desde pools manipulables; un préstamo flash permitió acuñar tokens baratos y canjear el subyacente real.

2.600 ETH ($10 M, 60% del pool) drenados del Ethereum Pool de Rari tras la integración ibETH de Alpha Finance permitir reentrada por llamadas externas.

Atacantes comprometieron la máquina del CEO, extrajeron claves de su wallet admin MetaMask, acuñaron EASY y drenaron 80 M$+ de pools de liquidez en Polygon.

$5,7 M drenados de la hot wallet de Roll, colapsando docenas de tokens de creadores 'social money' a la vez vía un único compromiso de clave privada.

Los Crowdpools V2 de DODO perdieron 3,8 M$ al re-llamarse init() con un token falso; sin guard de reinicialización. Bots MEV adelantaron ~1,9 M$.

PAID Network sufrió un minteo de $27 M+ tras comprometerse la clave del deployer, re-minteando ~59 M PAID; el atacante vendió ~2,5 M por $3 M.

Usuarios de Furucombo perdieron 14 M$ tras engañar al proxy para hacer delegatecall a una 'implementación Aave v2' maliciosa que barrió cada saldo aprobado.

Préstamo flash manipuló los precios gToken/stkToken en la estrategia de yield de Growth DeFi, extrayendo ~1,3 M$ de reservas a tasas sesgadas ('The Big Combo').

Un contrato 'spell' explotó un bug de redondeo de borrow-share para acumular cero shares contra deuda cySUSD real, drenando $37,5M en Alpha/Iron Bank.

La bóveda yDAI de Yearn perdió $11M (atacante ganó $2,8M) cuando una secuencia de 11 tx con préstamo flash sesgó el precio DAI del 3pool de Curve.

Saddle Finance perdió ~$276K en una hora tras el lanzamiento cuando un stableswap defectuoso permitió a arbitrajistas intercambiar a tasas mal tasadas.