Taiko-Bridge-Exploit durch gefälschte Proofs
Ein in Taikos öffentlichem GitHub geleakter SGX-Signaturschlüssel erlaubte gefälschte Bridge-Proofs und das Abziehen von rund 1,7 Mio. USD aus L1-Bridge und ERC20Vault auf Ethereum.
Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.
Ein in Taikos öffentlichem GitHub geleakter SGX-Signaturschlüssel erlaubte gefälschte Bridge-Proofs und das Abziehen von rund 1,7 Mio. USD aus L1-Bridge und ERC20Vault auf Ethereum.
Ein fehlerhafter Bridge-Vertrag erlaubte gefälschte IBC-Pakete und ungedeckte saTokens, wodurch rund 4,67 Mio. USD an Axelar-Assets von Secret Network abflossen.
Ein Fehler in der Proof-Validierung von Syscoins Cross-Chain-Bridge erlaubte das Prägen von rund 5 Milliarden SYS — über fünffaches Angebot — im Wert von knapp 10 Mio. USD.
Ein Angreifer reichte gefälschte Guardian-VAAs bei Alephiums Wormhole-Fork-TokenBridge ein und entwendete in rund sieben Minuten etwa 815.000 US-Dollar an Verwahrwerten von Ethereum und BNB Chain.
Gravity Bridge, die Cosmos-Ethereum-Cross-Chain-Bridge, wurde um rund 5,4 Mio. USD erleichtert, nachdem Angreifer offenbar Validator-Signaturschlüssel kompromittiert und Abhebungen gefälscht hatten.
Verus-Ethereum-Bridge zahlte 11,58 Mio. $ nach einem Verus-Export von 0,02 VRSC aus — keine Value-Binding-Prüfung Quelle/Ziel.
292 Mio. $ ungedecktes rsETH gemintet, nachdem Angreifer KelpDAOs 1-of-1-LayerZero-DVN-Setup ausnutzten; der größte DeFi-Hack 2026, TVL fiel danach 13 Mrd. $.
1 Mrd. gebridgte DOT auf Hyperbridge gemintet, nachdem ein fehlender Bounds-Check in VerifyProof MMR-Proof-Fälschung erlaubte; realer Verlust ~2,5 Mio. $.
4,3 Mio. $ aus IoTeX' ioTube-Bridge per Validator-Key-Kompromittierung abgezogen; Angreifer mintete auch 111M CIOTX und 9,3M CCS. Voll-Entschädigung zugesagt.
GriffinAI, ein AI-Agent-Krypto-Projekt, verlor rund 3 Mio. $ durch einen Bridge-/Mint-Fehler, der ungedecktes GAIN minten ließ — Preis kollabierte.
Access-Control-Fehler zog 3,76 Mio. $ aus Nervos' Force Bridge auf Ethereum und BNB Chain ab; die Beute wurde über Tornado Cash und FixedFloat gewaschen.
Ein White-Hat-MEV-Bot zog 12 Mio. $ aus Ronins Bridge durch einen Dead-Code-Init-Fehler ab. Alles für 500.000 $ Belohnung zurückgegeben.
DPRKs Lazarus entzog ALEX Labs Stacks-Bridge 4,3 Mio. USD über eine Lücke in der Verifikationslogik; nachverfolgt über On-Chain-Wäsche.
~82 Mio. $ aus Orbit Chains Cross-Chain-Bridge an Silvester abgezogen, nachdem sieben von zehn Multi-Sig-Signierern kompromittiert wurden.
Rund 220.000 $ aus HYPR Network abgezogen, nachdem ein Bridge-/Contract-Fehler einem Angreifer den Abzug gebridgter Liquidität erlaubte.
Beim Start der Shibarium-Bridge waren ~2,6 Mio. $ ETH durch einen falsch konfigurierten Vertrag und Traffic-Überlastung blockiert oder unzugänglich.
Fehlerhafte Merkle-Beweis-Verifikation in BSCs nativer Bridge ließ den Angreifer Abhebungen für 2M BNB fälschen, bevor Validatoren die Chain pausierten.
Ein routinemäßiges Upgrade markierte den Zero-Hash als gültigen Root, was jede Nomad-Nachricht zu einer kopierbaren Abhebung machte.
Lazarus kompromittierte zwei von fünf Operator-Multi-Sig-Keys an Harmonys Cross-Chain-Bridge und zog 100 Mio. $ ab; das 2-von-5-Quorum war zu niedrig.
Meter Passport Bridge verlor 4,4 Mio. $, als ihr Deposit-Handler einer Wrapped-Token-Summe vertraute, die ohne Deckung gesetzt werden konnte.
Eine Signaturverifikations-Umgehung auf Wormholes Solana-Seite ließ den Angreifer 120.000 wETH aus dem Nichts prägen — gedeckt durch null Ethereum-Sicherheit.
Ein Angreifer täuschte Qubits BSC-Bridge dazu, 77.162 qXETH (nominell 185 Mio. $) ohne ETH-Einzahlung zu minten und 206.809 BNB (80 Mio. $) zu leihen.
13 Mio. $+ aus THORChain in zwei Angriffen binnen einer Woche abgezogen — beide nutzten Fake-Deposit-Lücken in der Bifrost-Ethereum-Bridge im Chaosnet aus.
Schwachstelle in ChainSwaps Ethereum-BSC-Bridge ließ Angreifer beliebige Mengen von 20+ Tokens prägen; 4 Mio. USD entzogen, Tokens stürzten 95%+ ab.
Angreifer entdeckte wiederholten k-Wert in zwei BSC-Signaturen, errechnete den MPC-Key von Anyswap V3 zurück und entzog 7,9 Mio. USD aus Router-Pools.