Hackeos en Arbitrum en 2024

$53 M drenados de un multi-sig 3-de-11 de Radiant tras malware macOS en tres firmantes; la UI de Safe mostraba txs limpias mientras se firmaban actualizaciones.

DeltaPrime perdió 6 M$ en Arbitrum tras filtrarse una clave única; el equipo usaba multi-firma en Avalanche pero no en Arbitrum. ZachXBT lo vinculó a Lazarus.

11,6 M$ drenados de usuarios con aprobaciones infinitas a LI.FI; un facet nuevo saltó una validación, dejando a cualquiera invocar contratos arbitrarios.

$1,9 M drenados de Pike Finance tras dejar contratos sin inicializar, permitiendo apoderarse de la propiedad y vaciar activos puenteados por CCIP.

El vesting de Hedgey Finance perdió 44,7 M$ porque la falta de validación dejaba al atacante crear campañas cuyo callback aprobaba transferencias arbitrarias.

WOOFi Swap en Arbitrum perdió $8,75M cuando el atacante vio que el oráculo Chainlink de WOO nunca se configuró y el sPMM aceptaba cualquier precio.

Drenaron $6,4M de usuarios de Seneca vía aprobaciones ilimitadas a su contrato Chamber, sin función de pausa. El atacante devolvió el 80% por recompensa.

Orange Finance en Arbitrum perdió ~$844K tras comprometerse su clave admin, usada para alterar estrategias y retirar posiciones de Uniswap v3.

Gamma Strategies en Arbitrum perdió 6,1 M$ porque una verificación débil del proxy de depósito permitió a un préstamo flash sesgar el ratio y retirar de más.