Toma de gobernanza de BonkDAO
Un atacante gastó unos $4M comprando BONK en silencio para capturar el voto de BonkDAO, y luego impulsó una propuesta maliciosa en Realms que drenó unos $20M de la tesorería.
Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.
Un atacante gastó unos $4M comprando BONK en silencio para capturar el voto de BonkDAO, y luego impulsó una propuesta maliciosa en Realms que drenó unos $20M de la tesorería.
Un atacante con préstamo flash manipuló la contabilidad de participaciones del vault de USDC Lazy Summer de Summer.fi, canjeando activos inflados para drenar unos 6 millones de dólares en Ethereum.
Un atacante drenó 820.000 dólares en USDC del protocolo Hinkal —casi todo su TVL multicadena— mediante depósitos 'proofless' no verificados, y luego lo lavó vía Tornado Cash y THORChain.
Un atacante con un flash loan infló ~78x el tipo de cambio interno de wGOOGLx en Edel Finance y pidió prestado contra colateral ficticio, dejando unos 403.000 dólares de deuda incobrable.
Un proveedor externo comprometido inyectó un script malicioso en el frontend de Polymarket, drenando unos 2,94 M$ en PUSD de las wallets de los usuarios mediante phishing.
Un fallo de aleatoriedad predecible en el software de generación de wallets de SecondFi en Cardano permitió robar unos 2,4 M USD en ADA de 178 wallets, con hasta 20 M USD más en riesgo.
Una clave de firma SGX filtrada en el GitHub público de Taiko permitió falsificar pruebas del bridge y drenar unos $1,7M del L1 Bridge y el ERC20Vault en Ethereum.
Un fallo de quema deflacionaria en el token OLPC creó un desajuste de reservas en un pool de PancakeSwap V2, permitiendo a un atacante comprar LABUBU a un precio distorsionado y drenar unos $1,1M.
Un honeypot counter-MEV engañó al bot de sandwich más activo de Ethereum, jaredfromsubway.eth, para que aprobara 66 contratos de tokens falsos, drenando unos $7,5M en WETH, USDC y USDT.
Un atacante acuñó un token EVIL sin valor para distorsionar la contabilidad de los pools de liquidez concentrada de mySwap en Starknet y drenó unos $305K de fondos LP residuales.
Un fallo en la lógica de transferencias IBC permitió extraer unos 600.000 dólares en activos blindados del MASP de Namada, enmascarado por un indexador obsoleto.
Un transferFrom de valor cero eludió el allowance y desató un minteo de recompensa no autorizado al par de PancakeSwap, drenando unos $378.000 de Little Boy Plus.
Un atacante drenó unos $2,16M del obsoleto Private Rollup Bridge de Aztec mediante un escapeHatch sin protección y datos de prueba falsificados — segundo hackeo de Aztec en una semana.
Un return ausente en la función _transfer del token DIP permitió a un atacante desincronizar sus reservas de PancakeSwap con skim/sync y drenar unos $111.000 en USDC.
Un fallo de redondeo en un vault obsoleto de Thetanuts permitió acuñar tokens de opción gratis y drenar unos $2,1M en Ethereum; los white-hats recuperaron cerca de $2M.
Un atacante drenó unos $2,1M del puente obsoleto Aztec Connect explotando una validación de pruebas incompleta y retirando saldos sin respaldo de contratos inmutables.
Un atacante drenó unos $1,34M de cinco pools inactivos de AMM V3 de Raydium en Solana acuñando un token LP falso que eludió los controles de retiro del programa obsoleto.
Un contrato de puente defectuoso permitió forjar paquetes IBC y acuñar saTokens sin respaldo, drenando unos 4,67 millones de dólares en activos de Axelar.
Una clave comprometida de la Humanity Foundation permitió vaciar wallets y acuñar 100M de tokens H en BNB Chain, sustrayendo unos $32M y hundiendo $H casi un 90%.
Un atacante con la mayoría de TOP ejecutó una propuesta de Aragon en una sola transacción, acuñó ~10 000 millones de tokens y drenó 944 WETH de un pool de Balancer V1.
Un fallo en la validación de pruebas del puente cross-chain de Syscoin permitió acuñar unos 5.000 millones de SYS — más de cinco veces el suministro — por casi $10M.
Un fallo en la verificación de firmas del Zodiac Delay Module permitió eludir el retardo de Gnosis Pay y drenar unos 1,5 millones de dólares de 5.281 Safes; Gnosis reembolsó el 100 %.
Un atacante con control de los derechos de acuñación creó 99 millones de tokens TSR en BNB Chain y los liquidó por unos 2,5 millones de dólares, hundiendo el token casi un 99%.
Un atacante drenó unos 480.000 USD del vault afiUSD de AFI Protocol en Ethereum, cambiando DAI por ETH y enviando unos 150 ETH a través de Tornado Cash; la causa raíz no se reveló de inmediato.
Un atacante envió VAAs de guardián falsificadas al TokenBridge de Alephium (un fork de Wormhole) y drenó unos 815.000 dólares en activos en custodia de Ethereum y BNB Chain en unos siete minutos.
Gravity Bridge, el puente cross-chain Cosmos-Ethereum, fue drenado de unos 5,4 millones de dólares tras la aparente compromisión de las claves de firma de sus validadores.
Un atacante que controlaba un antiguo bloqueador de liquidez de DxSale en BNB Chain drenó unos 7,3 M$ en BNB de más de 1.400 pools bloqueados, con sospechas de participación interna.
Un fallo de control de acceso (confused deputy) en el módulo de terceros SquidRouterModule permitió drenar unos 3,8 millones de dólares de 88 billeteras Gnosis Safe en Ethereum, Base y Arbitrum.
Compromiso de clave admin en Echo Protocol minteó 1.000 eBTC sin respaldo (~$76,7M nominales); pérdida real ~$821K vía Tornado Cash tras pausa rápida.
El puente Verus-Ethereum pagó $11,58M tras un export Verus de solo 0,02 VRSC — sin validación de vinculación de valor origen/destino.
~$10,8M drenados de las bóvedas Asgard de THORChain en 9 cadenas por una falla del esquema GG20 (TSS) explotada por un operador de nodo malicioso.
El agregador cross-chain Transit Finance perdió ~$1,88M en DAI el 13 de mayo de 2026 — un segundo incidente multimillonario tras la brecha de aprobación de proxy de octubre de 2022.
Las bóvedas perp de Wasabi en Ethereum, Base, Berachain y Blast perdieron $5M cuando un EOA desplegador con ADMIN_ROLE único permitió upgrades UUPS.
Las bóvedas Sui de Volo perdieron $3,5M tras ingeniería social que comprometió la clave admin. El equipo congeló $500K y bloqueó un puente WBTC de $2,1M.
292 M$ en rsETH sin respaldo acuñados tras explotar la configuración 1-de-1 de LayerZero DVN de KelpDAO; el mayor hackeo DeFi de 2026, TVL cayó 13 B$ después.
Rhea Finance en NEAR perdió $18,4 M tras una preparación de dos días con tokens falsos, 423 billeteras y 8 pools Ref que explotaron suma de slippage.
1.000 M de DOT bridgeados acuñados en Hyperbridge tras una verificación ausente en VerifyProof que dejó forjar pruebas MMR; pérdida realizada ~2,5 M$.
Ingeniería social de la RPDC engañó al Security Council de Drift para firmar txs con nonces duraderos que cedieron el control admin, drenando 285 M$ en Solana.
Resolv Labs perdió $25 M tras comprometerse sus claves AWS KMS; un depósito de $100K USDC minteó 50M USR y despegó la stablecoin un 74% en 17 minutos.
La bóveda BRO de Solv perdió $2,73M cuando un bug ERC-3525 de doble acuñación convirtió 135 BRO en ~567M BRO, intercambiados luego por 38 SolvBTC.
Un usuario de Venus Protocol fue phishieado para delegar el control de cuenta, perdiendo ~$3,7M de su posición. Los contratos de Venus no fueron tocados.
4,3 M$ drenados del puente ioTube de IoTeX por un compromiso de clave de validador; también acuñó 111 M CIOTX y 9,3 M CCS. IoTeX prometió compensación total.
~$1,78 M drenados de Moonwell en Base tras un mercado recién listado usar un feed con desajuste de decimales, tasando mal el colateral.
El pool de préstamos Stellar de YieldBlox perdió $10,2M cuando una sola venta USTRY-USDC a 501x definió el oráculo Reflector en una ventana de 15 min.
Step Finance perdió 261.854 SOL ($27M) de billeteras de tesorería y comisiones ante un actor 'sofisticado'. STEP cayó 96%; Step, SolanaFloor y Remora cerraron.
$4,13 M extraídos del pool DUSD/USDC de Makina vía manipulación de MachineShareOracle con préstamo flash; white-hat recuperó 89% en una semana.
SagaEVM perdió $7M en 11 minutos cuando un bug de Ethermint permitió mensajes elaborados que minteaban Saga Dollar sin colateral y lo puenteaban a ETH.
TMXTribe, un protocolo de staking/recompensas, perdió ~$1,4M cuando un fallo contable de distribución permitió al atacante reclamar repetidamente en exceso.
Truebit perdió $26,4M cuando un desbordamiento entero en la curva de bonding de TRU de cinco años permitió acuñar TRU casi gratis y venderlo por 8.500 ETH.