Ataques de Fallo de smart contract en 2023

54,7 M$ drenados de KyberSwap Elastic tras un error de redondeo en matemáticas de liquidez concentrada que dejó pools reconocer el doble de liquidez.

$3,3 M de R minteados vía bug de redondeo en la lógica de colateral de Raft, pero el atacante falló el cash-out, quemando ~1.570 ETH. R se despegó.

Drenaron $640K de usuarios de Unibot vía un bug de aprobación en el nuevo router del bot de Telegram. Unibot reembolsó a los afectados.

~$2,2 M drenados de Platypus Finance en un grupo de exploits de octubre que golpearon el stableswap de Avalanche vía lógica defectuosa de solvencia/retirada.

Drenaron $2,9M de Stars Arena, una app SocialFi estilo friend.tech en Avalanche, por un fallo en la lógica de precio/retiro durante el auge del SocialFi.

Un atacante pasó un mercado falso y un permit forjado al DebtManager de Exactly en Optimism; leverage() no validó nada, drenando 7,3 M$ de 117 cuentas.

El tercer incidente de DEUS DAO drenó 6,5 M$ en BNB, Arbitrum y Ethereum por un fallo de burnFrom/allowances en DEI que permitió abusar de las aprobaciones.

Level Finance en BNB Chain perdió 1,1 M$ porque LevelReferralControllerV2 pagaba recompensas sin marcar la época reclamada, permitiendo reclamaciones repetidas.

Hundred Finance en Optimism perdió 7 M$ por un ataque de donación: un bug de redondeo en el fork de Compound v2 dejó vaciar el pool con hWBTC mínimo.

Un contrato iEarn legado de Yearn mal configurado apuntando al token Fulcrum incorrecto acuñó 1,2Q yUSDT y drenó $11M de Aave v1 antes de que nadie lo notara.

Una falta de chequeo de acceso en RouteProcessor2 de Sushi permitió a bots drenar $3,3M en WETH de usuarios con aprobaciones antes del rescate white-hat.

SafeMoon perdió $8,9 M de su pool WBNB tras una actualización que dejó burn() pública. Quemar el LP del pool infló SFM y luego drenó WBNB.

Una health check ausente en donateToReserves de Euler permitió crear una posición autoliquidable y llevarse 197 M$, casi todo devuelto por el atacante.

Pools de Hedera Hashgraph perdieron ~515K$ por un bug del decompilador del Smart Contract Service que dejaba al atacante sacar tokens HTS. Hedera pausó la red.

Usuarios de Dexible perdieron 2 M$ porque selfSwap hacía llamadas externas arbitrarias con datos del usuario, drenando wallets con aprobaciones activas.