Bridge-Exploit-Angriffe auf Ethereum

292 Mio. $ ungedecktes rsETH gemintet, nachdem Angreifer KelpDAOs 1-of-1-LayerZero-DVN-Setup ausnutzten; der größte DeFi-Hack 2026, TVL fiel danach 13 Mrd. $.

1 Mrd. gebridgte DOT auf Hyperbridge gemintet, nachdem ein fehlender Bounds-Check in VerifyProof MMR-Proof-Fälschung erlaubte; realer Verlust ~2,5 Mio. $.

4,3 Mio. $ aus IoTeX' ioTube-Bridge per Validator-Key-Kompromittierung abgezogen; Angreifer mintete auch 111M CIOTX und 9,3M CCS. Voll-Entschädigung zugesagt.

GriffinAI, ein AI-Agent-Krypto-Projekt, verlor rund 3 Mio. $ durch einen Bridge-/Mint-Fehler, der ungedecktes GAIN minten ließ — Preis kollabierte.

Access-Control-Fehler zog 3,76 Mio. $ aus Nervos' Force Bridge auf Ethereum und BNB Chain ab; die Beute wurde über Tornado Cash und FixedFloat gewaschen.

Ein White-Hat-MEV-Bot zog 12 Mio. $ aus Ronins Bridge durch einen Dead-Code-Init-Fehler ab. Alles für 500.000 $ Belohnung zurückgegeben.

~82 Mio. $ aus Orbit Chains Cross-Chain-Bridge an Silvester abgezogen, nachdem sieben von zehn Multi-Sig-Signierern kompromittiert wurden.

Rund 220.000 $ aus HYPR Network abgezogen, nachdem ein Bridge-/Contract-Fehler einem Angreifer den Abzug gebridgter Liquidität erlaubte.

Beim Start der Shibarium-Bridge waren ~2,6 Mio. $ ETH durch einen falsch konfigurierten Vertrag und Traffic-Überlastung blockiert oder unzugänglich.

Ein routinemäßiges Upgrade markierte den Zero-Hash als gültigen Root, was jede Nomad-Nachricht zu einer kopierbaren Abhebung machte.

Lazarus kompromittierte zwei von fünf Operator-Multi-Sig-Keys an Harmonys Cross-Chain-Bridge und zog 100 Mio. $ ab; das 2-von-5-Quorum war zu niedrig.

Eine Signaturverifikations-Umgehung auf Wormholes Solana-Seite ließ den Angreifer 120.000 wETH aus dem Nichts prägen — gedeckt durch null Ethereum-Sicherheit.

Ein Angreifer täuschte Qubits BSC-Bridge dazu, 77.162 qXETH (nominell 185 Mio. $) ohne ETH-Einzahlung zu minten und 206.809 BNB (80 Mio. $) zu leihen.

13 Mio. $+ aus THORChain in zwei Angriffen binnen einer Woche abgezogen — beide nutzten Fake-Deposit-Lücken in der Bifrost-Ethereum-Bridge im Chaosnet aus.

Schwachstelle in ChainSwaps Ethereum-BSC-Bridge ließ Angreifer beliebige Mengen von 20+ Tokens prägen; 4 Mio. USD entzogen, Tokens stürzten 95%+ ab.

Angreifer entdeckte wiederholten k-Wert in zwei BSC-Signaturen, errechnete den MPC-Key von Anyswap V3 zurück und entzog 7,9 Mio. USD aus Router-Pools.