Hackeos en Ethereum en 2023

~220K$ drenados de HYPR Network tras un fallo de bridge/contrato que dejó al atacante extraer liquidez bridgeada: un fallo de puente pequeño pero limpio.

Usuarios del agregador OKX DEX perdieron $2,7 M tras comprometerse una clave proxy-admin desactivada, actualizando el contrato a versión maliciosa.

Un compromiso único de operador drenó 87 M$ del puente HECO más 12 M$ de hot wallets de HTX, golpeando ambas plataformas de Justin Sun en 24 horas.

54,7 M$ drenados de KyberSwap Elastic tras un error de redondeo en matemáticas de liquidez concentrada que dejó pools reconocer el doble de liquidez.

26 M$ drenados de Kronos Research (Taipéi) tras robar claves API (no claves privadas) que controlaban retiros programáticos; WOO suspendió el trading.

$114 M+ barridos de hot wallets de Ethereum y Tron de Poloniex tras extraer claves privadas de sistemas internos; Justin Sun prometió reembolso total.

$3,3 M de R minteados vía bug de redondeo en la lógica de colateral de Raft, pero el atacante falló el cash-out, quemando ~1.570 ETH. R se despegó.

Drenaron $640K de usuarios de Unibot vía un bug de aprobación en el nuevo router del bot de Telegram. Unibot reembolsó a los afectados.

$200 M drenados de hot wallets de Mixin Network tras comprometer al proveedor de nube que alojaba su base de datos centralizada — alarma de infraestructura.

$2,7 M drenados de las hot wallets del exchange P2P Remitano en USDT, ANK, USDC y ETH vía compromiso de clave privada; TTPs consistentes con Lazarus.

Lazarus drenó $54M de hot wallets de CoinEx en Ethereum, Tron, BSC y otras 7 cadenas, reutilizando infraestructura del golpe a Stake.com previo.

Stake.com perdió $41M de hot wallets en Ethereum, BSC y Polygon en 90 minutos; el FBI atribuyó formalmente el robo a Lazarus y listó 40 direcciones.

Un atacante explotó una reentrada de solo lectura en proveedores de tasa de pools boosted de Balancer tras una divulgación, drenando ~$2,1M.

~$1,3M en riesgo en Swerve Finance, fork inactivo de Curve cuya gobernanza de baja participación permitió a un atacante apoderarse de los fondos.

~$2,6M de ETH atascados o en riesgo en el puente Shibarium al lanzamiento tras un contrato mal configurado y sobrecarga de tráfico que dejó fondos inaccesibles.

$2,1M drenados de Zunami tras que los precios de sus stablecoins zETH y UZD, derivados de pools manipulables de Curve, fueran inflados con préstamo flash.

Un bloqueo de reentrada defectuoso en tres versiones del compilador Vyper expuso varios stablepools de Curve a un ataque clásico de reentrada.

Un compromiso de claves drenó $60M de las hot wallets de AlphaPo en Tron, Bitcoin y Ethereum. El FBI atribuyó la brecha a Lazarus.

El Omnipool ETH de Conic tenía guards de reentrada pero asumía una dirección ETH de Curve v2 específica. Un nuevo CurveLPOracleV2 se coló, drenando $3,2M.

$125 M drenados de los contratos del puente Multichain tras el arresto del CEO Zhaojun; el equipo perdió acceso a claves MPC y todo apuntaba a interno.

Drenaron $800K de Sturdy Finance vía una reentrada de solo lectura de Balancer que valoró mal el colateral B-stETH-STABLE. Fondos devueltos tras negociar.

Una operación de Lazarus apuntó al software de Atomic Wallet, no a semillas individuales, drenando $100M+ de ~5.500 usuarios y rompiendo la auto-custodia.

El DAO de Tornado Cash fue secuestrado tras que un atacante autodestruyera una propuesta aprobada y redesplegara código malicioso, sumando 1,2M votos.

El tercer incidente de DEUS DAO drenó 6,5 M$ en BNB, Arbitrum y Ethereum por un fallo de burnFrom/allowances en DEI que permitió abusar de las aprobaciones.

Un compromiso de clave de firma barrió $23M en ETH, QNT, GALA, SHIB, HOT y MATIC de la hot wallet de Bitrue, menos del 5% de los saldos.

Un contrato iEarn legado de Yearn mal configurado apuntando al token Fulcrum incorrecto acuñó 1,2Q yUSDT y drenó $11M de Aave v1 antes de que nadie lo notara.

Una falta de chequeo de acceso en RouteProcessor2 de Sushi permitió a bots drenar $3,3M en WETH de usuarios con aprobaciones antes del rescate white-hat.

Una health check ausente en donateToReserves de Euler permitió crear una posición autoliquidable y llevarse 197 M$, casi todo devuelto por el atacante.

Usuarios de Dexible perdieron 2 M$ porque selfSwap hacía llamadas externas arbitrarias con datos del usuario, drenando wallets con aprobaciones activas.

$3 M drenados de Orion en Ethereum y BSC tras aceptar doSwapThroughOrionPool rutas no validadas sin guarda de reentrada; un token falso infló saldos.