Frontend-Übernahme

DPRK-Social-Engineers brachten Drift-Security-Council-Mitglieder dazu, Durable-Nonce-Txs blind zu signieren, was Admin-Kontrolle übergab und 285 Mio. $ abzog.

Bösartiges JavaScript in Safe{Wallet}s UI entzog 401.000 ETH (1,46 Mrd. USD) aus Bybit Cold-Wallet-Transfer – der größte Krypto-Diebstahl je.

53 Mio. $ aus einem 3-von-11-Radiant-Multi-Sig abgezogen, nachdem macOS-Malware drei Signierer traf; Safe-UI zeigte saubere Txs, Wallets signierten Upgrades.

WazirX verlor 234,9 Mio. $ aus einer 4-of-6 Gnosis Safe bei Liminal: Angreifer nutzten Diskrepanz zwischen Liminal-UI und signierter Calldata aus.

Angreifer hijackten curve.fis DNS via Domain-Registrar, lieferten Wallet-Drainer-Frontend, stahlen ~575K USD von Nutzern – Verträge blieben unangetastet.

MM-Finance-Nutzer auf Cronos verloren 2 Mio. $, nachdem ein Angreifer eine offene Konfiguration nutzte, um die Router-Adresse des DEX-Frontends auszutauschen.

Kompromittierter Cloudflare-API-Key ließ Angreifer zwei Wochen lang bösartige Approvals in BadgerDAOs Frontend einschleusen – 120 Mio. USD entzogen.