Ataques de Fallo de smart contract en 2025

Una actualización del oráculo creó una incompatibilidad de decimales 18-vs-8 en las bóvedas DOV de Ribbon en Aevo, drenando $2,7M. Bóvedas cerradas.

USPD, una stablecoin descentralizada nueva, perdió ~$1M por un fallo de mint/colateral que permitió acuñar sin respaldo, descabalgando el token brevemente.

El pool StableSwap yETH de Yearn acuñó 235 septillones de yETH desde un depósito de 16 wei tras que un retiro de liquidez dejara saldos virtuales cacheados.

Un descuido de control de acceso y un error de redondeo en la lógica de invariantes de Balancer v2 drenaron ~$120M, el mayor exploit DeFi de 2025.

Un error de redondeo en la función withdraw de Bunni DEX drenó $8,4M en Ethereum y Unichain tras juzgar mal los saldos ociosos. Protocolo cerrado.

Odin.fun, launchpad de memecoins en Bitcoin, perdió ~$7 M cuando los atacantes manipularon la contabilidad de la curva de bonding para drenar pools BTC.

Un fallo en la distribución de comisiones/recompensas permitió drenar $5M de los pools de BetterBank en PulseChain. Recuperación parcial posterior.

Un fallo en la lógica de mint de tokens de crédito de Credix Finance en BSC permitió acuñar y canjear contra posiciones fabricadas, drenando $4,5M.

Un fallo tipo reentrada en la lógica de precios de GLP en GMX v1 dejó al atacante drenar ~42 M$, casi todo devuelto días después a cambio de una recompensa.

$9,8 M drenados de Resupply en menos de 90 minutos cuando un préstamo flash de $4.000 explotó una bóveda wstUSR de 2 horas vía donación ERC-4626.

Un fallo en el self-listing drenó $8,37M (hasta $16,2M con tokens ALEX) de ALEX Protocol en Stacks: segundo gran incidente en 13 meses.

Un atacante drenó $12M (3.761 wstETH) de Cork Protocol creando un mercado que referenciaba el DS de otro, esquivando auth vía un hook de Uniswap v4.

Un fallo en el guard de overflow del mayor DEX de Sui permitió inyectar una posición minúscula que se leía como gigantesca, drenando $223M.

$2,15 M drenados de MobiusDAO en BNB Chain tras un doble escalado 10^18 que permitió mintear 9,73 cuatrillones de MBU con 0,01 BNB; vía Tornado Cash.

$355K (todo el TVL) drenados del protocolo de trading apalancado SIR.trading vía mal uso de almacenamiento transitorio que suplantó el callback de Uniswap v3.

Un atacante drenó $13M (6.260 ETH) de los Cauldrons GM de Abracadabra orquestando un depósito GMX fallido, autoliquidándose y re-prestando el colateral.

Un bug en un resolver Fusion v1 obsoleto permitió forjar calldata y drenar $5M de los TrustedVolumes de 1inch. Protocolo y fondos intactos.

ZeroLend perdió ~$371K por un clásico ataque de inflación con donación a un mercado recién listado que carecía de un depósito inicial protector.

$9,5M drenados de zkLend en Starknet vía un bug de redondeo de precisión en su librería safeMath; el redondeo repetido infló raw_balance hasta vaciar los pools.

The Idols NFT perdió ~$324K cuando un fallo contable de recompensas de staking permitió al atacante reclamar repetidamente más allá de lo debido.