2024El año en brechas

Una reentrada en el withdraw del Rebalancer de Clober DEX en Base permitió re-entrar antes del asiento contable LP, drenando $500K en exceso.

$8,7 M drenados de Polter Finance en Fantom tras un préstamo flash que infló el oráculo BOO de SpookySwap a $1,37 billones por token. Polter cerró.

$13,7 M drenados de hot wallets de M2 Exchange en BTC, ETH y Solana; identificados, contenidos y fondos de clientes restaurados en solo 16 minutos.

Tapioca DAO perdió $4,65M tras un miembro de Discord ser manipulado para conectar una hardware wallet; el atacante se apoderó de TAP/USDO. Recuperaron $2,7M.

$53 M drenados de un multi-sig 3-de-11 de Radiant tras malware macOS en tres firmantes; la UI de Safe mostraba txs limpias mientras se firmaban actualizaciones.

Un compromiso multi-chain estilo RPDC barrió $52M de las hot wallets de BingX en Ethereum, BNB Chain, Avalanche, Optimism y Polygon.

Un fallo del oráculo de mensajes de Telegram permitió drenar $3M de 11 usuarios de Banana Gun vía transferencias manuales. Víctimas reembolsadas.

DeltaPrime perdió 6 M$ en Arbitrum tras filtrarse una clave única; el equipo usaba multi-firma en Avalanche pero no en Arbitrum. ZachXBT lo vinculó a Lazarus.

~20 M$ barridos del mayor exchange cripto de Indonesia en varias cadenas en un compromiso coordinado de hot wallet durante la racha de brechas de 2024.

~$27 M drenados de Penpie tras una brecha de reentrada en plugins de Pendle, permitiendo registrar un mercado malicioso y vaciar recompensas en una tx.

Una ballena cripto perdió $55,47M en DAI tras firmar una tx maliciosa en una copia phishing del login de DeFi Saver impulsada por Inferno Drainer.

Un bot MEV white-hat drenó $12 M del puente de Ronin vía falla de init en código muerto que dejó minimumVoteWeight en cero. Fondos devueltos por $500K.

Un atacante extrajo $6,4M de Astroport en Terra vía una reentrada en IBC hooks parcheada en abril y reintroducida en una actualización de junio. ASTRO cayó 60%.

WazirX perdió $234,9M de un Gnosis Safe 4-de-6 en el custodio Liminal cuando los atacantes explotaron un desajuste entre la UI de Liminal y el calldata firmado.

11,6 M$ drenados de usuarios con aprobaciones infinitas a LI.FI; un facet nuevo saltó una validación, dejando a cualquiera invocar contratos arbitrarios.

Un paquete malicioso de PyPI (bittensor 6.12.2) exfiltró coldkeys descifradas y robó ~32.000 TAO ($8M); Opentensor aisló los validadores en 35 minutos.

~$55M drenados de las hot wallets de BtcTurk; Binance congeló ~$5,3M en tránsito — el mayor compromiso de un exchange turco hasta la fecha.

Un fallo en el contrato operator de Holograph dejó a un atacante acuñar 1.000 M de tokens HLG, valor nominal de 14,4 M$. HLG cayó un 80% en nueve horas.

UwULend perdió $19,4M tras que un atacante manipulara 5 de 11 oráculos sUSDe vía swaps en Curve, endeudándose a $0,99 y luego liquidando a $1,03.

$22 M (158 BTC, 2.161 ETH, más LTC/BCH) drenados de Lykke en un compromiso de claves que el exchange británico ocultó; atribuido a Lazarus.

Los pools CPMM de Velocore en zkSync y Linea perdieron $6,8M cuando un desbordamiento del multiplicador de comisión permitió acuñar enorme oferta LP.

Operativos de la RPDC comprometieron a un dev del proveedor Ginco vía oferta falsa en LinkedIn, drenando 4.502,9 BTC (305 M$) del exchange DMM Bitcoin.

Un atacante usó un rol MINTER inactivo para acuñar 5 B GALA (216 M$), vendió 21,8 M$ antes del blacklist; los 4,4 B restantes están efectivamente quemados.

Lazarus de la RPDC drenó $4,3M del puente cross-chain de ALEX Lab en Stacks mediante un fallo en la lógica de verificación, rastreado vía blanqueo on-chain.

Sonne Finance perdió $20M en Optimism por un 'ataque de donación', un exploit conocido de forks de Compound v2 al desplegar y sembrar un mercado.

$1,9 M drenados de Pike Finance tras dejar contratos sin inicializar, permitiendo apoderarse de la propiedad y vaciar activos puenteados por CCIP.

ZKasino tomó 10.515 ETH ($33M) de 8.000+ usuarios bajo promesa de retorno 1:1 ETH, luego lo convirtió a ZKAS y stakeó en Lido por 15 meses. Fundador arrestado.

El vesting de Hedgey Finance perdió 44,7 M$ porque la falta de validación dejaba al atacante crear campañas cuyo callback aprobaba transferencias arbitrarias.

Grand Base, proyecto RWA en Base, perdió 2 M$ tras comprometerse o abusarse la clave del deployer; el atacante acuñó GB ilimitado y drenó el pool de liquidez.

$11 M drenados del ayudante de migración de Trove de Prisma Finance tras saltarse migrate() y llamar a flashloan() directamente, luego exigió una disculpa.

El juego NFT Munchables en Blast perdió 17.413 ETH ($62,8 M) ante uno de sus desarrolladores, probable operativo norcoreano. Todos los fondos devueltos.

Un atacante compró una posición nominal de CGT, explotó un fallo de un fork de MakerDAO para amplificar el voto y acuñó 1B de CGT (~$16M) en Curio.

Drenaron $4,8M de Super Sushi Samurai en Blast tras un bug de transferencia que duplicaba el saldo en auto-transferencias. Un white-hat lo descubrió primero.

Drenaron $2,1M del agregador DEX de Unizen vía una llamada externa insegura en una actualización reciente que afectó a usuarios con aprobaciones.

WOOFi Swap en Arbitrum perdió $8,75M cuando el atacante vio que el oráculo Chainlink de WOO nunca se configuró y el sPMM aceptaba cualquier precio.

Drenaron $6,4M de usuarios de Seneca vía aprobaciones ilimitadas a su contrato Chamber, sin función de pausa. El atacante devolvió el 80% por recompensa.

Una clave admin robada permitió al atacante añadirse como minter y producir 1,79 B PLA en dos golpes — nominal $290 M, solo $32 M cobrados con éxito.

Un bug de redondeo en la contabilidad de deuda de los Cauldrons de Abracadabra permitió drenar $6,5M (2.740 ETH + 2,2M MIM) pagando deudas ajenas.

Orange Finance en Arbitrum perdió ~$844K tras comprometerse su clave admin, usada para alterar estrategias y retirar posiciones de Uniswap v3.

Drenaron $3,3M de usuarios del agregador Socket/Bungee vía una ruta SocketGateway no validada que llamó transferFrom en billeteras con aprobación infinita.

Gamma Strategies en Arbitrum perdió 6,1 M$ porque una verificación débil del proxy de depósito permitió a un préstamo flash sesgar el ratio y retirar de más.

~$82 M drenados del puente cross-chain de Orbit Chain en Nochevieja después de comprometerse siete de diez firmantes multi-sig; pérdidas en Ethereum y Klaytn.