Phishing / Social Engineering

Ein Venus-Protocol-Nutzer wurde gephisht und delegierte Kontokontrolle, ~3,7 Mio. $ verloren. Venus-Verträge wurden nicht kompromittiert.

Angreifer kompromittierten BigONEs Backend und schrieben die Risk-Control-Logik um, sodass jede Abhebung automatisch genehmigt wurde – 27 Mio. USD entzogen.

8,6 Mio. $ aus Ionic Money auf Mode extrahiert, nachdem Angreifer wochenlang Lombard Finance imitierten, ein Fake-LBTC listen ließen und dagegen liehen.

Tapioca DAO verlor 4,65 Mio. $: Discord-Mitglied wurde überredet, Hardware-Wallet zu verbinden. Angreifer übernahm TAP/USDO. 2,7 Mio. $ zurück.

Telegram-Message-Oracle-Fehler ließ Angreifer 3 Mio. USD von 11 Banana-Gun-Nutzern über manuelle Transfers entziehen. Team entschädigte aus Treasury.

Ein Krypto-Wal verlor 55,47 Mio. $ DAI nach Signatur einer Transaktion auf einer Phishing-Kopie der DeFi-Saver-Seite via Inferno Drainer.

Bösartiges PyPI-Paket (bittensor 6.12.2) exfiltrierte entschlüsselte Coldkeys, ~32.000 TAO (8 Mio. USD) gestohlen; Opentensor sperrte in 35 Minuten.

DPRK-Akteure kompromittierten einen Entwickler beim Wallet-Anbieter Ginco per Fake-LinkedIn-Angebot und zogen 4.502,9 BTC (305 Mio. $) von DMM Bitcoin ab.

26 Mio. $ aus Taipei-Market-Maker Kronos Research abgezogen, nachdem API-Keys für programmatische Withdrawals gestohlen wurden; WOO stoppte Handel.

Ein Breach von LastPass-Vault-Backups führte zu mehrjährigem Drain bei Nutzern, die Seeds dort speicherten; Verluste wuchsen auf über 400 Mio. $.

Eine SIM-Swap-Operation zog 477 Mio. $ aus FTX-Wallets binnen Stunden nach dem Chapter-11-Antrag — im Chaos des größten Krypto-Kollapses seit Mt. Gox.

2FA-Bypass-Exploit entzog 34 Mio. USD aus 483 Crypto.com-Konten; Angreifer autorisierten Transaktionen, ohne dass der zweite Faktor je den Nutzer abfragte.

Phishing-E-Mail mit Word-Macro auf einem Dev-Rechner ließ Lazarus-verbundene Angreifer 55 Mio. USD aus bZxs Polygon/BSC-Deployments entziehen.