Hackeos en Ethereum en 2024

$13,7 M drenados de hot wallets de M2 Exchange en BTC, ETH y Solana; identificados, contenidos y fondos de clientes restaurados en solo 16 minutos.

Tapioca DAO perdió $4,65M tras un miembro de Discord ser manipulado para conectar una hardware wallet; el atacante se apoderó de TAP/USDO. Recuperaron $2,7M.

Un compromiso multi-chain estilo RPDC barrió $52M de las hot wallets de BingX en Ethereum, BNB Chain, Avalanche, Optimism y Polygon.

Un fallo del oráculo de mensajes de Telegram permitió drenar $3M de 11 usuarios de Banana Gun vía transferencias manuales. Víctimas reembolsadas.

~20 M$ barridos del mayor exchange cripto de Indonesia en varias cadenas en un compromiso coordinado de hot wallet durante la racha de brechas de 2024.

~$27 M drenados de Penpie tras una brecha de reentrada en plugins de Pendle, permitiendo registrar un mercado malicioso y vaciar recompensas en una tx.

Una ballena cripto perdió $55,47M en DAI tras firmar una tx maliciosa en una copia phishing del login de DeFi Saver impulsada por Inferno Drainer.

Un bot MEV white-hat drenó $12 M del puente de Ronin vía falla de init en código muerto que dejó minimumVoteWeight en cero. Fondos devueltos por $500K.

WazirX perdió $234,9M de un Gnosis Safe 4-de-6 en el custodio Liminal cuando los atacantes explotaron un desajuste entre la UI de Liminal y el calldata firmado.

11,6 M$ drenados de usuarios con aprobaciones infinitas a LI.FI; un facet nuevo saltó una validación, dejando a cualquiera invocar contratos arbitrarios.

~$55M drenados de las hot wallets de BtcTurk; Binance congeló ~$5,3M en tránsito — el mayor compromiso de un exchange turco hasta la fecha.

Un fallo en el contrato operator de Holograph dejó a un atacante acuñar 1.000 M de tokens HLG, valor nominal de 14,4 M$. HLG cayó un 80% en nueve horas.

UwULend perdió $19,4M tras que un atacante manipulara 5 de 11 oráculos sUSDe vía swaps en Curve, endeudándose a $0,99 y luego liquidando a $1,03.

$22 M (158 BTC, 2.161 ETH, más LTC/BCH) drenados de Lykke en un compromiso de claves que el exchange británico ocultó; atribuido a Lazarus.

Un atacante usó un rol MINTER inactivo para acuñar 5 B GALA (216 M$), vendió 21,8 M$ antes del blacklist; los 4,4 B restantes están efectivamente quemados.

$1,9 M drenados de Pike Finance tras dejar contratos sin inicializar, permitiendo apoderarse de la propiedad y vaciar activos puenteados por CCIP.

ZKasino tomó 10.515 ETH ($33M) de 8.000+ usuarios bajo promesa de retorno 1:1 ETH, luego lo convirtió a ZKAS y stakeó en Lido por 15 meses. Fundador arrestado.

El vesting de Hedgey Finance perdió 44,7 M$ porque la falta de validación dejaba al atacante crear campañas cuyo callback aprobaba transferencias arbitrarias.

$11 M drenados del ayudante de migración de Trove de Prisma Finance tras saltarse migrate() y llamar a flashloan() directamente, luego exigió una disculpa.

Un atacante compró una posición nominal de CGT, explotó un fallo de un fork de MakerDAO para amplificar el voto y acuñó 1B de CGT (~$16M) en Curio.

Drenaron $2,1M del agregador DEX de Unizen vía una llamada externa insegura en una actualización reciente que afectó a usuarios con aprobaciones.

Drenaron $6,4M de usuarios de Seneca vía aprobaciones ilimitadas a su contrato Chamber, sin función de pausa. El atacante devolvió el 80% por recompensa.

Una clave admin robada permitió al atacante añadirse como minter y producir 1,79 B PLA en dos golpes — nominal $290 M, solo $32 M cobrados con éxito.

Un bug de redondeo en la contabilidad de deuda de los Cauldrons de Abracadabra permitió drenar $6,5M (2.740 ETH + 2,2M MIM) pagando deudas ajenas.

Drenaron $3,3M de usuarios del agregador Socket/Bungee vía una ruta SocketGateway no validada que llamó transferFrom en billeteras con aprobación infinita.

~$82 M drenados del puente cross-chain de Orbit Chain en Nochevieja después de comprometerse siete de diez firmantes multi-sig; pérdidas en Ethereum y Klaytn.