2023El año en brechas

~220K$ drenados de HYPR Network tras un fallo de bridge/contrato que dejó al atacante extraer liquidez bridgeada: un fallo de puente pequeño pero limpio.

Levana Protocol en Osmosis perdió ~1,15 M$ tras inducir congestión en la cadena para retrasar feeds y abrir/cerrar perpetuos en momentos mal preciados.

Usuarios del agregador OKX DEX perdieron $2,7 M tras comprometerse una clave proxy-admin desactivada, actualizando el contrato a versión maliciosa.

Un compromiso único de operador drenó 87 M$ del puente HECO más 12 M$ de hot wallets de HTX, golpeando ambas plataformas de Justin Sun en 24 horas.

54,7 M$ drenados de KyberSwap Elastic tras un error de redondeo en matemáticas de liquidez concentrada que dejó pools reconocer el doble de liquidez.

26 M$ drenados de Kronos Research (Taipéi) tras robar claves API (no claves privadas) que controlaban retiros programáticos; WOO suspendió el trading.

$114 M+ barridos de hot wallets de Ethereum y Tron de Poloniex tras extraer claves privadas de sistemas internos; Justin Sun prometió reembolso total.

$3,3 M de R minteados vía bug de redondeo en la lógica de colateral de Raft, pero el atacante falló el cash-out, quemando ~1.570 ETH. R se despegó.

Drenaron $640K de usuarios de Unibot vía un bug de aprobación en el nuevo router del bot de Telegram. Unibot reembolsó a los afectados.

~$2,2 M drenados de Platypus Finance en un grupo de exploits de octubre que golpearon el stableswap de Avalanche vía lógica defectuosa de solvencia/retirada.

Drenaron $2,9M de Stars Arena, una app SocialFi estilo friend.tech en Avalanche, por un fallo en la lógica de precio/retiro durante el auge del SocialFi.

$200 M drenados de hot wallets de Mixin Network tras comprometer al proveedor de nube que alojaba su base de datos centralizada — alarma de infraestructura.

$2,7 M drenados de las hot wallets del exchange P2P Remitano en USDT, ANK, USDC y ETH vía compromiso de clave privada; TTPs consistentes con Lazarus.

Lazarus drenó $54M de hot wallets de CoinEx en Ethereum, Tron, BSC y otras 7 cadenas, reutilizando infraestructura del golpe a Stake.com previo.

Stake.com perdió $41M de hot wallets en Ethereum, BSC y Polygon en 90 minutos; el FBI atribuyó formalmente el robo a Lazarus y listó 40 direcciones.

Un atacante explotó una reentrada de solo lectura en proveedores de tasa de pools boosted de Balancer tras una divulgación, drenando ~$2,1M.

Un atacante pasó un mercado falso y un permit forjado al DebtManager de Exactly en Optimism; leverage() no validó nada, drenando 7,3 M$ de 117 cuentas.

~$1,3M en riesgo en Swerve Finance, fork inactivo de Curve cuya gobernanza de baja participación permitió a un atacante apoderarse de los fondos.

~$2,6M de ETH atascados o en riesgo en el puente Shibarium al lanzamiento tras un contrato mal configurado y sobrecarga de tráfico que dejó fondos inaccesibles.

$869K drenados de RocketSwap en Base tras una brecha de servidor que entregó tanto las claves encriptadas como la lógica de descifrado del script.

$2,1M drenados de Zunami tras que los precios de sus stablecoins zETH y UZD, derivados de pools manipulables de Curve, fueran inflados con préstamo flash.

Drenaron $1,14M de Steadefi en Arbitrum y Avalanche tras un compromiso de la clave privada del desplegador que permitió al atacante apoderarse de las bóvedas.

El desarrollador del memecoin BALD retiró liquidez en la testnet Base de Coinbase, embolsándose $5,9M de beneficio y dejando $23M en pérdidas para inversores.

Un bloqueo de reentrada defectuoso en tres versiones del compilador Vyper expuso varios stablepools de Curve a un ataque clásico de reentrada.

Una función oculta withdrawFunds solo para el deployer drenó 1,6 M$ en depósitos del contrato de staking de DeFiLabs en BNB Chain antes de desaparecer.

EraLend en zkSync Era perdió 3,4 M$ por reentrada de solo lectura: el atacante manipuló el precio USDC mid-callback durante una operación del pool SyncSwap.

Un compromiso de claves drenó $60M de las hot wallets de AlphaPo en Tron, Bitcoin y Ethereum. El FBI atribuyó la brecha a Lazarus.

El Omnipool ETH de Conic tenía guards de reentrada pero asumía una dirección ETH de Curve v2 específica. Un nuevo CurveLPOracleV2 se coló, drenando $3,2M.

$125 M drenados de los contratos del puente Multichain tras el arresto del CEO Zhaojun; el equipo perdió acceso a claves MPC y todo apuntaba a interno.

Kannagi Finance, granja de yield en zkSync Era, hizo rug pull por 2,1 M$ tras swapear su contrato de staking cerrado y actualizable a uno malicioso.

Una propuesta de gobernanza aprobada en silencio en BSC otorgó al atacante allowances de gasto sobre cada wallet de Atlantis Loans, drenando $2,5M.

Drenaron $800K de Sturdy Finance vía una reentrada de solo lectura de Balancer que valoró mal el colateral B-stETH-STABLE. Fondos devueltos tras negociar.

Una operación de Lazarus apuntó al software de Atomic Wallet, no a semillas individuales, drenando $100M+ de ~5.500 usuarios y rompiendo la auto-custodia.

7,5 M$ extraídos de Jimbo's Protocol en Arbitrum tras un fallo de slippage en JimboController.shift() que dejó a un préstamo flash drenar el ETH del piso.

El DAO de Tornado Cash fue secuestrado tras que un atacante autodestruyera una propuesta aprobada y redesplegara código malicioso, sumando 1,2M votos.

Rug pull de $3M en Swaprum en Arbitrum, un fork de Arbiswap cuyos contratos auditados ocultaban un proxy actualizable con una función add() de backdoor.

El tercer incidente de DEUS DAO drenó 6,5 M$ en BNB, Arbitrum y Ethereum por un fallo de burnFrom/allowances en DEI que permitió abusar de las aprobaciones.

Level Finance en BNB Chain perdió 1,1 M$ porque LevelReferralControllerV2 pagaba recompensas sin marcar la época reclamada, permitiendo reclamaciones repetidas.

Merlin DEX en zkSync perdió $1,82 M horas tras el lanzamiento cuando un rol con puerta trasera permitió a internos retirar liquidez. CertiK lo había marcado.

Hundred Finance en Optimism perdió 7 M$ por un ataque de donación: un bug de redondeo en el fork de Compound v2 dejó vaciar el pool con hWBTC mínimo.

Un compromiso de clave de firma barrió $23M en ETH, QNT, GALA, SHIB, HOT y MATIC de la hot wallet de Bitrue, menos del 5% de los saldos.

Un contrato iEarn legado de Yearn mal configurado apuntando al token Fulcrum incorrecto acuñó 1,2Q yUSDT y drenó $11M de Aave v1 antes de que nadie lo notara.

Una falta de chequeo de acceso en RouteProcessor2 de Sushi permitió a bots drenar $3,3M en WETH de usuarios con aprobaciones antes del rescate white-hat.

SafeMoon perdió $8,9 M de su pool WBNB tras una actualización que dejó burn() pública. Quemar el LP del pool infló SFM y luego drenó WBNB.

Kokomo Finance, fork de Compound en Optimism, hizo rug por 4 M$ pausando cBTC, apuntando recompensas a una implementación maliciosa y borrando redes sociales.

Una health check ausente en donateToReserves de Euler permitió crear una posición autoliquidable y llevarse 197 M$, casi todo devuelto por el atacante.

Pools de Hedera Hashgraph perdieron ~515K$ por un bug del decompilador del Smart Contract Service que dejaba al atacante sacar tokens HTS. Hedera pausó la red.

Hope Finance perdió 1,86 M$ en su lanzamiento en Arbitrum porque el contrato desplegado difería del auditado; los fondos fueron directos a Tornado Cash.

Usuarios de Dexible perdieron 2 M$ porque selfSwap hacía llamadas externas arbitrarias con datos del usuario, drenando wallets con aprobaciones activas.

$8,5 M drenados de Platypus en Avalanche vía exploit de préstamo flash de emergencyWithdraw(), retirando colateral en stake antes del reembolso.

Una reentrada de solo lectura en remove_liquidity de Curve drenó 3,65 M$ del pool wstETH/ETH de dForce en Arbitrum y Optimism. Un sombrero blanco devolvió todo.

$3 M drenados de Orion en Ethereum y BSC tras aceptar doSwapThroughOrionPool rutas no validadas sin guarda de reentrada; un token falso infló saldos.

Reportar un precio absurdo de WALBT al oráculo Tellor de BonqDAO (coste: 10 TRB) acuñó $120M y colapsó el TVL un 99,66% en una transacción.

Midas Capital en Polygon perdió $660K por una reentrada de solo lectura en Curve que tasó mal el LP jBRL/BRZ, permitiendo prestar contra valor inflado.