Los 10 peores hackeos y explotaciones de criptomonedas de 2024

activaron la explotación, desviando millones de dólares en criptomonedas.

Más tarde, Munchables nos actualizó que el desarrollador había acordado entregar incondicionalmente las claves privadas de la billetera que contenía los activos de Munchables, lo que resultó en la recuperación total de los activos. No está completamente claro por qué el atacante decidió hacer eso.

Explotación de la ballena de Dai: $55 millones 

En agosto, una ballena de criptomonedas fue víctima de un sofisticado ataque de phishing, que resultó en la pérdida de $55 millones en stablecoins Dai.

El atacante explotó una vulnerabilidad para acceder a la cuenta de la billetera de criptomonedas de la víctima, también llamada cuenta de propiedad externa, que controlaba un vault en el protocolo Maker. Este tipo de vault permite a los usuarios pedir prestados stablecoins Dai depositando colateral.

Al aprovechar la EOA comprometida, el atacante transfirió la propiedad del Proxy de Servicio Descentralizado (DSProxy) de la víctima a una dirección recién creada bajo su control. Un DSProxy es un contrato inteligente que permite a los usuarios ejecutar múltiples llamadas de contrato en una sola transacción.

El DSProxy, una herramienta para automatizar transacciones complejas, era la clave del vault digital de la ballena. Al obtener el control sobre el DSProxy, el atacante adquirió la capacidad de manipular el Vault de Maker de la ballena. Con el control sobre el DSProxy, el hacker se estableció como la dirección del propietario del protocolo y acuñó 55,473,618 stablecoins Dai en su billetera.

La firma de seguridad Halborn explicó que el atacante probablemente utilizó un ataque de phishing contra la ballena para engañarla y que firmara una transacción transfiriendo la propiedad del proxy a ellos. Otra posibilidad es que el ataque de phishing comprometiera las claves privadas de la cuenta de la billetera que controlaba el DSProxy.

Radiant Capital: $51 millones

En octubre de 2024, Radiant Capital fue golpeado por un segundo ataque severo en el año, lo que llevó a una pérdida de aproximadamente $51 millones.

El incidente inicial, una explotación de préstamo relámpago, despojó al protocolo de aproximadamente $4.5 millones. Sin embargo, este evento fue menor en comparación con el posterior ataque más complejo. Este ataque subsiguiente apuntó a una falla en el mecanismo de firma múltiple del protocolo, utilizando una táctica altamente sofisticada. Radiant Capital utilizó una configuración de firma múltiple de 3 de 11, que necesitaba tres claves privadas para aprobar transacciones cruciales.

No obstante, los atacantes, que se cree están asociados con el grupo Lazarus de Corea del Norte, eludieron esta característica de seguridad. Los atacantes manipularon el proceso de firma, engañando a los firmantes para que aprobaran transacciones maliciosas que parecían legítimas. Esta manipulación involucró malware sofisticado que alteró los datos de la transacción mostrados en la interfaz de la billetera Gnosis Safe. En contraste, las transacciones maliciosas se enviaron a las billeteras de hardware para su firma e implementación.

Los atacantes aprovecharon fallas ocasionales en las transacciones, típicamente pasadas por alto como normales. Al incrustar transacciones maliciosas dentro de estas fallas, obtuvieron firmas válidas sin alertar a nadie.

Una vez que estas transacciones maliciosas recibieron aprobación, los atacantes tomaron control de uno de los contratos inteligentes de Radiant, que supervisaba varios pools de préstamos. Esta brecha les permitió reemplazar los contratos de los pools con versiones maliciosas, accediendo así a los fondos de los usuarios.

BingX: $43 millones

En otro incidente alarmante que destaca la vulnerabilidad de los intercambios centralizados de criptomonedas, BingX, con sede en Singapur, fue víctima de una gran explotación de seguridad. El ataque, que ocurrió el 20 de septiembre de 2024, comprometió la billetera caliente del intercambio.

Aunque BingX minimizó el incidente como "menor", los analistas de seguridad estimaron la pérdida total en alrededor de $43 millones. Los fondos robados fueron desviados en múltiples tramos, lo que sugiere un ataque bien coordinado.

Este incidente es parte de una tendencia preocupante de hacks a CEX que han plagado la industria de criptomonedas a lo largo de 2024. En este incidente, los atacantes obtuvieron acceso no autorizado

acceso a múltiples blockchains y utilizó numerosas direcciones de explotación para recolectar una amplia gama de criptomonedas. Posteriormente, estos fondos robados fueron convertidos en ether, una práctica común entre el Grupo Lazarus de Corea del Norte.

Penpie: $27 millones

En septiembre de 2024, el protocolo Penpie, una plataforma de yield farming que opera en Pendle Finance, fue comprometido, lo que llevó a una pérdida de alrededor de $27 millones.

La causa raíz del hackeo de Penpie fue una vulnerabilidad crítica conocida como ataque de reentrada. Este tipo de explotación permite a actores maliciosos manipular el flujo de ejecución de un contrato inteligente, llevando a consecuencias no deseadas. 

Al crear un mercado engañoso en Pendle, el atacante creó versiones falsas del token de "rendimiento estandarizado" de Pendle y los vinculó a los tokens de "proveedor de liquidez" de Pendle. Esta manipulación permitió al atacante llamar repetidamente a una función vulnerable, inflando su saldo de recompensas con estos tokens fabricados. El contrato inteligente, al carecer de mecanismos de validación fuertes, aceptó erróneamente estos tokens falsos, permitiendo al atacante drenar fondos significativos.

A pesar de la gravedad del ataque, el equipo de Penpie extendió una rama de olivo al atacante, ofreciendo una recompensa a cambio de la devolución de los fondos robados. El atacante decidió ignorar esta súplica y lavar las ganancias ilícitas a través del mezclador Tornado Cash.

UwU Lend: $20 millones

En junio de 2024, UwU Lend, una plataforma de préstamos descentralizada, sufrió una explotación de $20 millones debido a un fallo en su oráculo de precios, que depende de datos en tiempo real de los pools de liquidez de Curve Finance. Un atacante explotó esta vulnerabilidad y manipuló el precio de la stablecoin vinculada al USD, sUSDE, a través de una serie de operaciones calculadas.

El ataque comenzó con el atacante tomando un préstamo flash sustancial y cambiando una gran parte de estos activos por sUSDE en un pool de Curve, reduciendo drásticamente su precio. Luego, el atacante pidió prestadas grandes cantidades de tokens sUSDE infravalorados de UwU Lend, utilizando otras criptomonedas como garantía. Posteriormente, el atacante operó dentro del pool de Curve para restaurar el precio de sUSDE a la normalidad, aumentando el valor de sus tenencias.

El atacante liquidó estas posiciones para recuperar las criptomonedas inicialmente prestadas, que ahora eran más valiosas, y volvió a depositar el sUSDE en UwU Lend para pedir más prestado, obteniendo finalmente una ganancia de $19.3 millones en ether. Este incidente destaca vulnerabilidades críticas en el uso de precios al contado para oráculos de finanzas descentralizadas.

Sonne Finance: $20 millones

En mayo de 2024, Sonne Finance, un protocolo de préstamos descentralizado que opera en la cadena Optimism Layer 2, encontró una explotación de $20 millones causada por una vulnerabilidad en su sistema, derivada de forks de Compound v2. Esta vulnerabilidad típicamente apunta a fallas de diseño del protocolo, especialmente en mercados con baja liquidez o recién establecidos.

Crear un nuevo mercado en un fork de Compound v2 como Sonne requiere liquidez inicial para disuadir la manipulación de precios. Sin esto, el mercado es propenso a ataques. Los errores de precisión o redondeo en los cálculos de contratos inteligentes, particularmente valores decimales, pueden ser manipulados.

En el caso de Sonne Finance, un atacante inyectó una pequeña cantidad del activo subyacente en un mercado vacío, alterando significativamente la tasa de cambio entre el activo subyacente y su contraparte tokenizada.

Esto llevó a un error de redondeo, que el atacante de Sonne Finance explotó para retirar más activos subyacentes de los depositados inicialmente, resultando en una pérdida total de alrededor de $20 millones. Este evento subraya un problema recurrente con los forks de Compound v2, explotado en ataques similares en plataformas como Hundred Finance y el Protocolo Onyx.

Intercambio M2: $14 millones

En octubre, el intercambio de criptomonedas M2 con sede en los EAU fue víctima de un ciberataque que resultó en el robo de criptomonedas por valor de $13.7 millones.

El actor malicioso explotó vulnerabilidades en los sistemas de seguridad del intercambio, ganando