2025El año en brechas

Una actualización del oráculo creó una incompatibilidad de decimales 18-vs-8 en las bóvedas DOV de Ribbon en Aevo, drenando $2,7M. Bóvedas cerradas.

USPD, una stablecoin descentralizada nueva, perdió ~$1M por un fallo de mint/colateral que permitió acuñar sin respaldo, descabalgando el token brevemente.

El pool StableSwap yETH de Yearn acuñó 235 septillones de yETH desde un depósito de 16 wei tras que un retiro de liquidez dejara saldos virtuales cacheados.

Probable robo de clave dio a los atacantes el control del contrato de GANA Payment en BSC; manipularon tasas de recompensa y drenaron 3,1 M$ vía unstake.

Un descuido de control de acceso y un error de redondeo en la lógica de invariantes de Balancer v2 drenaron ~$120M, el mayor exploit DeFi de 2025.

SBI Crypto, el brazo minero de SBI Holdings, perdió $24M en BTC, ETH, LTC, DOGE y BCH. Sin detectar 7 días hasta que ZachXBT señaló patrón Lazarus.

GriffinAI, proyecto cripto de agentes IA, perdió ~3 M$ porque un fallo de bridge/mint dejó acuñar tokens GAIN sin respaldo y volcarlos, colapsando el precio.

UXLINK, un protocolo social Web3, perdió ~$41M tras que los atacantes comprometieran las claves multi-firma y explotaran un delegatecall sin restricciones.

~$2 M rug-pulled de New Gold Protocol, proyecto 'respaldado en oro' en BNB Chain cuya autoridad privilegiada drenó depósitos antes de desaparecer.

El SOL Earn de SwissBorg perdió $41,5M (193.000 SOL) vía una API comprometida en el proveedor de staking Kiln. SwissBorg no fue vulnerado.

Un error de redondeo en la función withdraw de Bunni DEX drenó $8,4M en Ethereum y Unichain tras juzgar mal los saldos ociosos. Protocolo cerrado.

Odin.fun, launchpad de memecoins en Bitcoin, perdió ~$7 M cuando los atacantes manipularon la contabilidad de la curva de bonding para drenar pools BTC.

Un compromiso de hot wallet en 7 cadenas drenó $48M del exchange turco BtcTurk, su segundo gran hackeo en 14 meses. El almacenamiento en frío quedó intacto.

Un fallo en la distribución de comisiones/recompensas permitió drenar $5M de los pools de BetterBank en PulseChain. Recuperación parcial posterior.

Un fallo en la lógica de mint de tokens de crédito de Credix Finance en BSC permitió acuñar y canjear contra posiciones fabricadas, drenando $4,5M.

Atacantes drenaron $44M de la cuenta interna de liquidez de CoinDCX usada para reservas con exchanges socios; el exchange absorbió la pérdida desde tesorería.

Atacantes comprometieron el backend de BigONE y reescribieron la lógica de riesgo para auto-aprobar retiradas, drenando $27M sin exponer claves.

Un fallo tipo reentrada en la lógica de precios de GLP en GMX v1 dejó al atacante drenar ~42 M$, casi todo devuelto días después a cambio de una recompensa.

$9,8 M drenados de Resupply en menos de 90 minutos cuando un préstamo flash de $4.000 explotó una bóveda wstUSR de 2 horas vía donación ERC-4626.

Más de $90 M drenados del mayor exchange de Irán por Predatory Sparrow, luego quemados a direcciones con mensajes anti-IRGC — destrucción, no lucro.

Un fallo en el self-listing drenó $8,37M (hasta $16,2M con tokens ALEX) de ALEX Protocol en Stacks: segundo gran incidente en 13 meses.

Un fallo de control de acceso drenó 3,76 M$ del Force Bridge de Nervos en Ethereum y BNB Chain; el botín se cambió a ETH y se lavó por Tornado y FixedFloat.

Un atacante drenó $12M (3.761 wstETH) de Cork Protocol creando un mercado que referenciaba el DS de otro, esquivando auth vía un hook de Uniswap v4.

Un fallo en el guard de overflow del mayor DEX de Sui permitió inyectar una posición minúscula que se leía como gigantesca, drenando $223M.

Zunami Protocol perdió ~$500K en un segundo incidente, 2 años después de su exploit de pool Curve de 2023, nuevamente por derivación de precio manipulable.

$2,15 M drenados de MobiusDAO en BNB Chain tras un doble escalado 10^18 que permitió mintear 9,73 cuatrillones de MBU con 0,01 BNB; vía Tornado Cash.

Loopscale en Solana perdió $5,8 M 16 días tras el lanzamiento por manipulación del oráculo PT de RateX. Fondos devueltos por una recompensa del 10%.

7,5 M$ extraídos de perps de KiloEX en Base, opBNB y BSC porque el MinimalForwarder se saltó verificaciones; posiciones abiertas a 100$, cerradas a 10.000$.

UPCX perdió ~$70M de su tesorería tras que una cuenta admin comprometida en la plataforma de pagos open source impulsara una actualización maliciosa.

$355K (todo el TVL) drenados del protocolo de trading apalancado SIR.trading vía mal uso de almacenamiento transitorio que suplantó el callback de Uniswap v3.

Un atacante drenó $13M (6.260 ETH) de los Cauldrons GM de Abracadabra orquestando un depósito GMX fallido, autoliquidándose y re-prestando el colateral.

$8,4M drenados de Zoth, un protocolo de restaking RWA, tras que su clave de desplegador fuera comprometida y usada para impulsar una implementación maliciosa.

Un bug en un resolver Fusion v1 obsoleto permitió forjar calldata y drenar $5M de los TrustedVolumes de 1inch. Protocolo y fondos intactos.

49,5 M$ drenados del vault Morpho MEVCapital USDC de Infini por la dirección que construyó el contrato y conservó la autoridad admin tras el lanzamiento.

ZeroLend perdió ~$371K por un clásico ataque de inflación con donación a un mercado recién listado que carecía de un depósito inicial protector.

JavaScript malicioso en la UI de Safe{Wallet} drenó 401.000 ETH ($1,46B) de una transferencia desde cold wallet de Bybit, el mayor robo cripto.

$9,5M drenados de zkLend en Starknet vía un bug de redondeo de precisión en su librería safeMath; el redondeo repetido infló raw_balance hasta vaciar los pools.

8,6 M$ extraídos de Ionic Money en Mode tras suplantar a Lombard Finance durante semanas, conseguir listar un LBTC falso y pedir prestado contra él.

~$73 M drenados de hot wallets de Phemex en 16 cadenas en un barrido coordinado — el primer gran hackeo de exchange de 2025, con TTPs consistentes con Lazarus.

The Idols NFT perdió ~$324K cuando un fallo contable de recompensas de staking permitió al atacante reclamar repetidamente más allá de lo debido.

Moby Trade, protocolo de opciones en Arbitrum, perdió ~$1 M tras comprometerse una clave privilegiada para amañar liquidaciones. SEAL limitó los daños.