Drenaje del protocolo de privacidad Hinkal
Un atacante drenó 820.000 dólares en USDC del protocolo Hinkal —casi todo su TVL multicadena— mediante depósitos 'proofless' no verificados, y luego lo lavó vía Tornado Cash y THORChain.
Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.
Un atacante drenó 820.000 dólares en USDC del protocolo Hinkal —casi todo su TVL multicadena— mediante depósitos 'proofless' no verificados, y luego lo lavó vía Tornado Cash y THORChain.
Un fallo de quema deflacionaria en el token OLPC creó un desajuste de reservas en un pool de PancakeSwap V2, permitiendo a un atacante comprar LABUBU a un precio distorsionado y drenar unos $1,1M.
Un atacante acuñó un token EVIL sin valor para distorsionar la contabilidad de los pools de liquidez concentrada de mySwap en Starknet y drenó unos $305K de fondos LP residuales.
Un fallo en la lógica de transferencias IBC permitió extraer unos 600.000 dólares en activos blindados del MASP de Namada, enmascarado por un indexador obsoleto.
Un transferFrom de valor cero eludió el allowance y desató un minteo de recompensa no autorizado al par de PancakeSwap, drenando unos $378.000 de Little Boy Plus.
Un atacante drenó unos $2,16M del obsoleto Private Rollup Bridge de Aztec mediante un escapeHatch sin protección y datos de prueba falsificados — segundo hackeo de Aztec en una semana.
Un return ausente en la función _transfer del token DIP permitió a un atacante desincronizar sus reservas de PancakeSwap con skim/sync y drenar unos $111.000 en USDC.
Un fallo de redondeo en un vault obsoleto de Thetanuts permitió acuñar tokens de opción gratis y drenar unos $2,1M en Ethereum; los white-hats recuperaron cerca de $2M.
Un atacante drenó unos $2,1M del puente obsoleto Aztec Connect explotando una validación de pruebas incompleta y retirando saldos sin respaldo de contratos inmutables.
Un atacante drenó unos $1,34M de cinco pools inactivos de AMM V3 de Raydium en Solana acuñando un token LP falso que eludió los controles de retiro del programa obsoleto.
Un fallo en la verificación de firmas del Zodiac Delay Module permitió eludir el retardo de Gnosis Pay y drenar unos 1,5 millones de dólares de 5.281 Safes; Gnosis reembolsó el 100 %.
Un fallo de control de acceso (confused deputy) en el módulo de terceros SquidRouterModule permitió drenar unos 3,8 millones de dólares de 88 billeteras Gnosis Safe en Ethereum, Base y Arbitrum.
El agregador cross-chain Transit Finance perdió ~$1,88M en DAI el 13 de mayo de 2026 — un segundo incidente multimillonario tras la brecha de aprobación de proxy de octubre de 2022.
Rhea Finance en NEAR perdió $18,4 M tras una preparación de dos días con tokens falsos, 423 billeteras y 8 pools Ref que explotaron suma de slippage.
La bóveda BRO de Solv perdió $2,73M cuando un bug ERC-3525 de doble acuñación convirtió 135 BRO en ~567M BRO, intercambiados luego por 38 SolvBTC.
SagaEVM perdió $7M en 11 minutos cuando un bug de Ethermint permitió mensajes elaborados que minteaban Saga Dollar sin colateral y lo puenteaban a ETH.
TMXTribe, un protocolo de staking/recompensas, perdió ~$1,4M cuando un fallo contable de distribución permitió al atacante reclamar repetidamente en exceso.
Truebit perdió $26,4M cuando un desbordamiento entero en la curva de bonding de TRU de cinco años permitió acuñar TRU casi gratis y venderlo por 8.500 ETH.