Ataques de Fallo de smart contract en 2024

11,6 M$ drenados de usuarios con aprobaciones infinitas a LI.FI; un facet nuevo saltó una validación, dejando a cualquiera invocar contratos arbitrarios.

Un fallo en el contrato operator de Holograph dejó a un atacante acuñar 1.000 M de tokens HLG, valor nominal de 14,4 M$. HLG cayó un 80% en nueve horas.

Los pools CPMM de Velocore en zkSync y Linea perdieron $6,8M cuando un desbordamiento del multiplicador de comisión permitió acuñar enorme oferta LP.

Sonne Finance perdió $20M en Optimism por un 'ataque de donación', un exploit conocido de forks de Compound v2 al desplegar y sembrar un mercado.

$1,9 M drenados de Pike Finance tras dejar contratos sin inicializar, permitiendo apoderarse de la propiedad y vaciar activos puenteados por CCIP.

El vesting de Hedgey Finance perdió 44,7 M$ porque la falta de validación dejaba al atacante crear campañas cuyo callback aprobaba transferencias arbitrarias.

Drenaron $4,8M de Super Sushi Samurai en Blast tras un bug de transferencia que duplicaba el saldo en auto-transferencias. Un white-hat lo descubrió primero.

Drenaron $2,1M del agregador DEX de Unizen vía una llamada externa insegura en una actualización reciente que afectó a usuarios con aprobaciones.

Drenaron $6,4M de usuarios de Seneca vía aprobaciones ilimitadas a su contrato Chamber, sin función de pausa. El atacante devolvió el 80% por recompensa.

Drenaron $3,3M de usuarios del agregador Socket/Bungee vía una ruta SocketGateway no validada que llamó transferFrom en billeteras con aprobación infinita.