2022El año en brechas

El compromiso del owner añadió un colateral falso a Defrost Finance en Avalanche y liquidó todas las posiciones por ~12 M$. La mayoría se devolvió.

Una brecha de backups cifrados de LastPass llevó a un drenaje multianual a víctimas que guardaban seed phrases; las pérdidas pasaron de 35 M$ a más de 400 M$.

$4,4 M drenados de los pools de Raydium en Solana tras malware robar la clave del pool-admin, luego usó funciones admin para retirar comisiones.

Lodestar en Arbitrum perdió 6,5 M$ porque su oráculo plvGLP ignoró donate() inflando activos GLP, dejando pedir prestado contra colateral inflado 83%.

Lodestar en Arbitrum perdió $6,5 M tras manipular el oráculo plvGLP, que leía el estado del pool GLP directamente, para inflar colateral y vaciar reservas.

Una clave de dev robada permitió acuñar 60 billones de aBNBc, que Helio aceptó como colateral para prestar $16M de HAY antes del freeze de $3M de Binance.

Una operación de SIM-swap drenó 477 M$ de wallets de FTX en horas tras la solicitud de Chapter 11, explotando el caos del mayor colapso cripto desde Mt. Gox.

Drenaron $3,2M de Skyward Finance en NEAR por un fallo contable de tesorería que permitió al atacante canjear SKYWARD repetidamente contra el mismo saldo.

Un atacante drenó 28 M$ de las hot wallets BTC/ETH/USDC de Deribit; el mayor exchange de opciones lo cubrió con su balance, sin tocar el cold storage.

Team Finance perdió $15,8M en migración Uniswap v2-a-v3: tokens bloqueados movidos a par v3 sesgado y reembolsados como 'sobrante' por $2.700 en gas.

Drenaron $1,1M de Sovryn, un protocolo Bitcoin-DeFi en RSK, vía manipulación de precios AMM/oráculo que permitió endeudarse contra colateral inflado.

$8,4 M extraídos de Moola Market en Celo: el atacante compró MOO con $243K de CELO, lo infló 300x como colateral; 93,1% devuelto por $500K.

Avraham Eisenberg infló el oráculo MNGO 2.300% en 10 minutos, pidió prestados $117 M contra el colateral inflado y se marchó — redefiniendo la ley on-chain.

Drenaron $2,3M del StaxLPStaking de TempleDAO tras que migrateStake() no validara al llamante, permitiendo migrar la posición completa de cualquier staker.

Una verificación de prueba Merkle defectuosa en el puente nativo de BSC permitió forjar retiradas por 2M BNB antes de que los validadores pausaran la cadena.

Usuarios de Transit Swap con aprobaciones infinitas perdieron $21M cuando claimTokens no validaba el token a llamar en transferFrom. 70% devuelto.

Wintermute perdió $160M de una hot wallet cuya dirección vanity generada por Profanity usaba semilla PRNG de 32 bits que permitía fuerza bruta. Lo sabían.

Atacantes hijackearon el DNS de curve.fi vía el registrador y sirvieron un frontend con wallet-drainer, robando ~$575K. Contratos intactos.

~9.231 billeteras Solana perdieron $4,1M tras que la app Slope Wallet registrara las frases semilla de los usuarios en texto plano en un servidor Sentry.

Una actualización rutinaria marcó el hash cero como raíz válida, convirtiendo cada mensaje de Nomad en un retiro que cualquiera podía copiar y pegar.

Un préstamo flash de $10 M USDC infló el ANA de Nirvana 4x contra su propio oráculo; el atacante cambió por $13,49 M USDT y NIRV se despegó 90%.

Un atacante explotó un fallo del inicializador de Audius para auto-delegarse 10 billones de AUDIO y aprobar una propuesta que drenó $6M de la tesorería.

Una cuenta tick falsa esquivó el owner check de Crema y cosechó comisiones ficticias vía CLMM, drenando $9,6M en Solana. $8M devueltos en acuerdo white-hat.

Lazarus comprometió 2 de 5 claves multi-firma del puente cross-chain de Harmony y drenó 100 M$; el quorum 2-de-5 estaba por debajo de su perfil de riesgo.

Gym Network en BNB Chain perdió 2,1 M$ porque una función de depósito aceptó una firma de referidor sin validar, dejando al atacante acuñar enormes recompensas.

Fortress Protocol en BNB Chain perdió 3 M$ tras manipular FTS vía un oráculo delgado y una propuesta de gobernanza que fijó factores de colateral arbitrarios.

Usuarios de MM Finance en Cronos perdieron $2 M cuando el atacante explotó una config no reclamada para cambiar el router del DEX y redirigir aprobaciones.

Una reentrada en exitMarket() drenó 80 M$ de los pools Fuse de Rari Capital, una función que el equipo olvidó proteger al parchear reentrada el mes anterior.

El metapool sUSDv2 de Saddle perdió $11,9 M cuando un bug conocido de MetaSwapUtils se redesplegó por error; bots de BlockSec rescataron $3,97 M.

DEUS DAO perdió 13,4 M$ al valorar el colateral DEI desde un par Solidly DEI/USDC que un atacante con préstamo flash movió para vaciar las reservas de préstamo.

Un préstamo flash de $1B compró el 67% de la gobernanza de Beanstalk en un bloque, aprobando una propuesta que drenó la tesorería. Neto: $76M de $182M.

15,6 M$ drenados de Inverse Finance al manipular su oráculo Keep3r INV/ETH vía un bundle de mempool privado, esquivando el TWAP en un solo bloque invisible.

El mercado de préstamos Fuse de Voltage perdió $4M cuando el hook transferAndCall de tokens ERC-677 permitió reentrar a borrow antes de registrar la deuda.

$2 M drenados de Revest Finance vía reentrada en mintAddressLock/depositAdditionalToFNFT que permitió al atacante mintear NFTs sobrevalorados y redimirlos.

Dos comprobaciones de colateral faltantes permitieron acuñar 2.000 millones de stablecoins CASH falsos en Cashio, hundiendo el TVL de $48M a cero.

Compromiso de claves privadas de validadores drenó 173.600 ETH y 25,5 M USDC del puente Ronin — el mayor hackeo cripto en ese momento.

Un exploit conjunto de reentrada drenó ~$11M de Agave y Hundred Finance en Gnosis Chain vía el callback de transferencia ERC-677 de wETH/wXDAI.

~$1,7 M drenados de Paraluni en BNB Chain tras aceptar la función de depósito un token no validado sin guarda de reentrada, dejando reingresar a un token falso.

~$1,4M en NFTs robados del marketplace de TreasureDAO tras que la función buy no comprobara que la cantidad produjera un precio distinto de cero.

Un compromiso de clave privada drenó 10 M$ de Dego Finance en Ethereum y BNB Chain, barriendo pools de liquidez y wallets de usuarios con aprobaciones activas.

Drenaron $8,7M de Superfluid tras pasar un 'context' malicioso a su contrato host que permitió suplantar al llamante y ejecutar flujos privilegiados.

El puente Meter Passport perdió $4,4 M cuando su manejador de depósitos aceptó un monto de token wrapped sin respaldo, minteando BNB/ETH puenteados.

Un bypass de verificación de firmas en el lado Solana de Wormhole permitió al atacante acuñar 120.000 wETH de la nada — sin colateral en Ethereum.

Un atacante engañó al puente BSC de Qubit para mintear 77.162 qXETH ($185 M nominales) sin depositar ETH, pidiendo prestados 206.809 BNB ($80 M).

Un exploit de bypass del 2FA drenó $34M de 483 cuentas de Crypto.com; los atacantes autorizaron transacciones sin que el 2FA se solicitara al usuario.

Arbix Finance en Arbitrum, auditado por Certik, acuñó 10M de ARBX a direcciones del atacante, drenó $10M en depósitos y borró toda su presencia web y social.

~$3M drenados de Tinyman, el AMM principal de Algorand, vía un fallo de lógica de swap/burn en operaciones de tokens de pool que permitió extraer activos.