SecondFi Wallet-Schlüsselerzeugungs-Exploit
Vorhersehbare Zufallswerte in SecondFis Cardano-Wallet-Software ermöglichten den Diebstahl von rund 2,4 Mio. USD in ADA aus 178 Wallets, bis zu 20 Mio. USD weiter gefährdet.
Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.
Vorhersehbare Zufallswerte in SecondFis Cardano-Wallet-Software ermöglichten den Diebstahl von rund 2,4 Mio. USD in ADA aus 178 Wallets, bis zu 20 Mio. USD weiter gefährdet.
Ein kompromittierter Schlüssel der Humanity Foundation erlaubte das Leeren von Wallets und das Prägen von 100 Mio. H-Token auf BNB Chain — etwa 32 Mio. USD, $H-Kurs fast 90 % eingebrochen.
Ein Angreifer mit Kontrolle über die Mint-Rechte erzeugte 99 Millionen TSR-Token auf der BNB Chain und stieß sie für rund 2,5 Mio. USD ab, was den Token um fast 99% einbrechen ließ.
Ein Angreifer mit Kontrolle über einen alten DxSale-Locker auf BNB Chain entwendete rund 7,3 Mio. USD an BNB aus über 1.400 gesperrten Pools — bei Verdacht auf Insider-Beteiligung.
Admin-Key-Kompromittierung auf Echo Protocol minete 1.000 ungedeckte eBTC (~76,7 Mio. $ nominal); realisierter Verlust ~821 Tsd. $ via Tornado Cash.
~10,8 Mio. $ aus THORChain-Asgard-Vaults über neun Chains entleert via GG20-TSS-Schwachstelle, ausgenutzt von einem böswilligen Node-Operator.
Wasabi Protocols Perp-Vaults auf 4 Chains verloren 5 Mio. $: Kompromittiertes Deployer-EOA mit alleiniger ADMIN_ROLE erlaubte UUPS-Upgrades.
Volo Protocols Sui-Vaults verloren 3,5 Mio. $ durch Admin-Key-Kompromittierung. Team fror 500 Tsd. $ in 30 Min ein, blockte 2,1-Mio.-$-WBTC-Bridge.
Resolv Labs verlor 25 Mio. $, nachdem Angreifer seine AWS-KMS-Schlüssel kompromittierten; 100.000 $ USDC mintete 50 Mio. USR und depeggte 74 % in 17 Minuten.
Step Finance verlor 261.854 SOL (27 Mio. $) aus Treasury-Wallets an einen 'sophistizierten' Akteur. STEP fiel 96 %; Step und Tochterprojekte schlossen.
Wahrscheinlicher Private-Key-Diebstahl gab Angreifern Kontrolle über GANA Payments BSC-Contract; sie manipulierten Reward-Raten und zogen 3,1 Mio. $ ab.
SBI Crypto, der Mining-Arm von SBI Holdings, verlor 24 Mio. $ in BTC, ETH, LTC, DOGE und BCH. Erst nach 7 Tagen entdeckte ZachXBT ein Lazarus-Muster.
UXLINK, ein Web3-Social-Protokoll, verlor rund 41 Mio. $ nach Kompromittierung der Multi-Sig-Keys und Ausnutzung eines uneingeschränkten delegatecall-Pfads.
SwissBorgs SOL Earn verlor 41,5 Mio. $ (193.000 SOL) durch eine kompromittierte API bei Kiln. Nicht SwissBorg, sondern der Drittanbieter wurde gehackt.
Eine Hot-Wallet-Kompromittierung über 7 Chains entzog BtcTurk 48 Mio. USD, ihr zweiter großer Hack in 14 Monaten. Cold Storage blieb unangetastet.
Angreifer entzogen 44 Mio. USD aus CoinDCXs internem Liquiditätskonto für Partner-Börsenreserven; die Börse absorbierte den Verlust aus dem Treasury.
Über 90 Mio. $ von Irans größter Börse durch Predatory Sparrow entwendet, dann an Anti-IRGC-Adressen verbrannt — Zerstörungs- statt Profit-Hack.
UPCX verlor rund 70 Mio. $ aus seiner Treasury, nachdem ein kompromittierter Admin-Account auf der Open-Source-Payments-Plattform ein bösartiges Upgrade pushte.
8,4 Mio. $ aus Zoth, einem RWA-Restaking-Protokoll, abgezogen: Deployer-Key kompromittiert und bösartiges Proxy-Upgrade gepusht.
49,5 Mio. $ aus Infinis Morpho-MEVCapital-USDC-Vault abgezogen — von der Adresse, die den Contract baute und still Admin-Autorität nach dem Launch behielt.
~73 Mio. $ aus Phemex-Hot-Wallets über 16 Blockchains in koordiniertem Sweep abgezogen — erster großer Börsen-Hack 2025, TTPs konsistent mit Lazarus.
Moby Trade, ein Arbitrum-Options-Protokoll, verlor ~1 Mio. $ nach Kompromiss eines privilegierten Schlüssels. SEAL-White-Hats begrenzten den Schaden.
13,7 Mio. $ aus M2-Exchange-Hot-Wallets (UAE) über BTC, ETH und Solana abgezogen; identifiziert, eingedämmt und Kundengelder in nur 16 Minuten erstattet.
DPRK-artige Multi-Chain-Kompromittierung entzog 52 Mio. USD aus BingX-Hot-Wallets auf Ethereum, BNB Chain, Avalanche, Optimism und Polygon.
DeltaPrime verlor 6 Mio. $ auf Arbitrum durch einen extrahierten Private Key; das Team nutzte Multi-Sig auf Avalanche, nicht auf Arbitrum.
Rund 20 Mio. $ aus Indonesiens größter Kryptobörse über mehrere Chains gefegt in einer koordinierten Hot-Wallet-Kompromittierung der 2024er Breach-Serie.
~55 Mio. USD aus BtcTurks Hot Wallets entzogen, Binance fror etwa 5,3 Mio. USD ein – größter Türkei-Börsen-Bruch bisher.
22 Mio. $ (158 BTC, 2.161 ETH, plus LTC/BCH) aus Lykke abgezogen durch Private-Key-Kompromiss, den die UK-Börse vertuschen wollte; Lazarus zugeschrieben.
Angreifer übernahm dormante MINTER-Rolle, mintete 5 Mrd. GALA (216 Mio. $) und verkaufte 21,8 Mio. $, bevor er geblacklistet wurde; 4,4 Mrd. blieben gesperrt.
Grand Base, ein RWA-Projekt auf Base, verlor 2 Mio. $ durch kompromittierten Deployer-Key; Angreifer mintete unbegrenzt GB und leerte den Pool.
Gestohlener Admin-Schlüssel erlaubte Selbst-Hinzufügung als Minter und 1,79 Mrd. PLA — nominell 290 Mio. $, nur 32 Mio. ausgezahlt.
Orange Finance auf Arbitrum verlor ~844.000 $, nachdem sein Admin-Schlüssel Strategie-Verträge änderte und Uniswap-v3-Positionen abzog.
OKX-DEX-Aggregator-Nutzer verloren 2,7 Mio. $, nachdem ein veralteter Proxy-Admin-Schlüssel den Vertrag auf eine bösartige Version upgradete.
Eine Single-Operator-Kompromittierung zog 87 Mio. $ aus HECOs Cross-Chain-Bridge plus 12 Mio. $ aus HTX-Hot-Wallets — beide Justin-Sun-Plattformen, 24 Stunden.
114 Mio. $+ aus Poloniex' Ethereum- und Tron-Hot-Wallets abgezogen, nachdem Schlüssel aus internen Systemen extrahiert wurden; Justin Sun versprach Erstattung.
200 Mio. $ aus Mixin-Network-Hot-Wallets abgezogen, nachdem Angreifer den Cloud-Anbieter kompromittierten, der Mixins zentralisierte Datenbank hostete.
2,7 Mio. $ aus Hot Wallets der P2P-Börse Remitano in USDT, ANK, USDC und ETH durch Private-Key-Kompromiss abgezogen; TTPs konsistent mit Lazarus.
Lazarus entzog 54 Mio. USD aus CoinEx-Hot-Wallets über Ethereum, Tron, BSC und sieben weitere Chains, mit Infrastruktur des Stake.com-Hits der Vorwoche.
Stake.com verlor 41 Mio. $ aus Hot Wallets auf Ethereum, BSC und Polygon in 90 Minuten; das FBI schrieb den Heist Lazarus zu und listete 40 Adressen auf.
869.000 $ aus RocketSwap auf Base abgezogen, nachdem ein Server-Einbruch sowohl die verschlüsselten Privatschlüssel als auch das Decryption-Skript lieferte.
1,14 Mio. $ aus Steadefi auf Arbitrum und Avalanche abgezogen, nachdem ein Deployer-Private-Key-Diebstahl die Übernahme von Leverage-Vaults ermöglichte.
Private-Key-Kompromittierung entzog AlphaPos Hot Wallets auf Tron, Bitcoin und Ethereum 60 Mio. USD. FBI schrieb den Payment-Processor-Bruch Lazarus zu.
125 Mio. $ aus Multichain-Bridge-Verträgen abgezogen, einen Monat nach Verhaftung von CEO Zhaojun; Team verlor MPC-Schlüsselzugang, Inside Job vermutet.
Lazarus-Operation zielte auf Atomic Wallets Software statt einzelne Seeds, entzog 100 Mio.+ USD von rund 5.500 Nutzern und umging Self-Custody-Garantien.
Eine Signing-Key-Kompromittierung entzog Bitrues Hot Wallet 23 Mio. USD an ETH, QNT, GALA, SHIB, HOT, MATIC – unter 5% der Börsensalden, vor jedem Stopp.
Eine Owner-Key-Kompromittierung fügte einen Fake-Collateral-Token zu Defrost Finance auf Avalanche hinzu und liquidierte alle Positionen für rund 12 Mio. $.
4,4 Mio. $ aus Raydiums Solana-Pools abgezogen, nachdem Malware den Pool-Admin-Privatschlüssel stahl und Admin-Funktionen für Gebührenentnahme nutzte.
Gestohlener Ankr-Entwicklerschlüssel ließ 60 Bio. aBNBc prägen; Helio nahm sie als Sicherheit für 16 Mio. USD HAY. Binance fror 3 Mio. USD ein.
Angreifer zogen 28 Mio. $ aus Deribits BTC-/ETH-/USDC-Hot-Wallets ab; die Optionsbörse deckte den Schaden aus eigener Bilanz, Cold Storage blieb intakt.
Wintermute verlor 160 Mio. $ aus einer Hot Wallet mit Profanity-Vanity-Adresse: Ein 32-Bit-PRNG-Seed ließ jeden Key brute-forcen. Sie wussten es.
~9.231 Solana-Wallets verloren 4,1 Mio. $: Slopes App loggte Seed-Phrasen im Klartext an einen Sentry-Server — per On-Chain-Forensik aufgespürt.
Validator-Private-Key-Kompromiss zog 173.600 ETH und 25,5 Mio. USDC aus der Ronin-Bridge ab — der größte Krypto-Hack zu dieser Zeit.
Eine Private-Key-Kompromittierung zog 10 Mio. $ aus Dego Finance auf Ethereum und BNB Chain ab und fegte Pools sowie Wallets mit aktiven Token-Approvals leer.
148 Vulcan-Forged-Nutzer-Wallets verloren 4,5M PYR (140 Mio. $) nach Kompromittierung von Venly. Vollständige Erstattung aus der Treasury.
Angreifer entzog 77,7 Mio. USD an 78 ERC-20-Tokens aus AscendEX-Hot-Wallets auf Ethereum, BSC und Polygon, verbunden mit einer Hardware-Schwachstelle.
Eine einzige Private-Key-Kompromittierung entzog 196 Mio. USD aus zwei Bitmart-Hot-Wallets auf Ethereum und BNB Chain; CEO entschädigte aus Reserven.
Eine Admin-Key-Kompromittierung ließ den Angreifer 139 Mio. USD an gepoolter DEX-Liquidität von BXH auf BSC abheben – einer der größten Verluste 2021.
Rund 97 Mio. $ aus Liquid Globals Warm Wallets in ETH, XRP, BTC und Stablecoins gefegt; FTX gewährte 120-Mio.-$-Notkredit und übernahm die Börse später.
Rund 1,5 Mio. $ aus Levyathan Finance auf Fantom abgezogen: Der Deployer-Key des Teams wurde in ein öffentliches Repo geleakt — Angreifer mintete LEV.
Kompromittierter Deployer-Key ließ Angreifer ~373M BONDLY (~5,9 Mio. USD) prägen und in Liquidität dumpen; Bondly migrierte später Verträge.
Angreifer kompromittierten den Rechner des CEO, zogen Keys aus seiner MetaMask-Admin-Wallet und mintete EASY, drainte über 80 Mio. $ aus Polygon-Pools.
5,7 Mio. $ aus Rolls Hot Wallet abgezogen, was Dutzende unabhängiger 'Social Money'-Creator-Tokens durch einen Private-Key-Kompromiss kollabierte.
PAID Network hatte 27 Mio. $+ geminted nach kompromittiertem Deployer-Schlüssel; Angreifer dumpte ~2,5 Mio. für 3 Mio. $ vor Pause. PAID fiel ~85 %.
281 Mio. $ aus KuCoin-Hot-Wallets in BTC, ETH und ERC-20s abgezogen — der drittgrößte Börsen-Hack je, eine Lazarus-Operation; rund 84 % wiederhergestellt.
Eine Wallet-Infrastruktur-Kompromittierung entzog ~16 Mio. USD an ETH und ERC-20s von 76.000+ Cryptopia-Nutzern und führte zur langen Insolvenz in Neuseeland.
523M XEM (530 Mio. USD) aus Japans Coincheck entzogen, das seine NEM-Reserven in einer Hot Wallet ohne Multi-Signature lagerte. Kunden in Yen entschädigt.