Smart-Contract-Bug

Rhea Finance auf NEAR verlor 18,4 Mio. $ nach zweitägiger Vorbereitung von Fake-Tokens, 423 Wallets und 8 Ref-Pools, die einen Slippage-Bug ausnutzten.

Solv Protocols BRO-Vault verlor 2,73 Mio. $: Ein ERC-3525-Double-Mint-Bug verwandelte 135 BRO in ~567M BRO in 22 Einzahlungen, getauscht in 38 SolvBTC.

SagaEVM verlor 7 Mio. $ in 11 Minuten — ein Ethermint-Bug ließ gestaltete Nachrichten die Validierung umgehen und Saga Dollar (D) ohne Deckung minten.

TMXTribe, ein Staking/Rewards-Protokoll, verlor ~1,4 Mio. $, als ein Verteilungs-Buchhaltungsfehler wiederholte Über-Claims und Pool-Drain erlaubte.

Truebit verlor 26,4 Mio. $: Ein Integer-Overflow in TRUs 5 Jahre alter Bonding Curve ließ Angreifer TRU fast gratis prägen und für 8.500 ETH verkaufen.

Oracle-Upgrade erzeugte 18-vs-8-Dezimal-Diskrepanz in Aevos alten Ribbon-DOV-Vaults; 2,7 Mio. USD wurden entwendet. Aevo schloss die Vaults.

USPD, ein neuerer dezentraler Stablecoin, verlor ~1 Mio. $ durch einen Mint-Fehler, der Minting gegen unzureichende Deckung erlaubte und kurz depegte.

Yearns yETH-Pool mintete 235 Septillionen yETH aus 16 Wei Einzahlung: Liquiditätsentnahme setzte Supply auf null, cached Balances blieben.

Access-Control-Lücke und Rundungsfehler in Balancer v2s Invariant-Logik entzogen ~120 Mio. USD aus Stable Pools – der größte DeFi-Exploit von 2025.

Rundungsfehler in Bunni DEXs Withdraw-Funktion entzog 8,4 Mio. USD auf Ethereum und Unichain, nachdem Devs Idle-Balance-Bewegungen falsch einschätzten.

Odin.fun, ein Bitcoin-Memecoin-Launchpad, verlor ~7 Mio. $ als Angreifer Bonding-Curve-Liquiditätsbuchhaltung manipulierten, um BTC-Pools zu leeren.

Fehler in der Fee/Reward-Verteilung erlaubte wiederholte Wertentnahme aus BetterBanks PulseChain-Pools – 5 Mio. USD entzogen, später teilweise zurück.

Fehler in Credix Finances Credit-Token-Mint-Logik auf BNB Chain ließ Angreifer fabrizierte Positionen prägen und einlösen, entzog 4,5 Mio. USD aus dem Pool.

Ein reentrancy-naher Fehler in der GLP-Preislogik von GMX v1 ließ einen Angreifer rund 42 Mio. $ abziehen — das meiste binnen Tagen gegen Bounty zurück.

9,8 Mio. $ aus Resupply in unter 90 Minuten abgezogen, als ein Flash-Kredit über 4.000 $ einen 2 Stunden alten wstUSR-Vault per ERC-4626-Donation ausnutzte.

Eine Schwäche der Self-Listing-Verifikation entzog ALEX Protocol auf Stacks 8,37 Mio. USD (bis 16,2 Mio. mit ALEX) – zweiter Vorfall in 13 Monaten.

Angreifer entzog Cork Protocol 12 Mio. USD (3.761 wstETH), indem er einen Markt mit fremder DS schuf und Auth über einen bösartigen Uniswap-v4-Hook umging.

Overflow-Guard-Fehler in Suis größter DEX ließ winzige Liquiditätsposition als gigantisch lesen, 223 Mio. USD entzogen, bevor Validatoren eingriffen.

2,15 Mio. $ aus MobiusDAO auf BNB Chain abgezogen — doppelte 10^18-Skalierung erlaubte 9,73 Billiarden MBU aus 0,01 BNB; via Tornado Cash gewaschen.

355 Tsd. $ (gesamte TVL) aus SIR.trading abgezogen durch Transient-Storage-Missbrauch, der die uniswapV3SwapCallback-Aufruferprüfung fälschte.

Angreifer entzog Abracadabras GM Cauldrons 13 Mio. USD (6.260 ETH) durch fehlschlagende GMX-Einlage, Selbst-Liquidation und erneutes Leihen der Sicherheit.

Ein Bug im alten Fusion-v1-Resolver erlaubte Calldata-Manipulation und führte zum Diebstahl von 5 Mio. USD aus 1inch Resolver TrustedVolumes.

ZeroLend verlor ~371 Tsd. $ durch klassischen Empty-Market-Share-Inflation-Donation-Angriff auf einen frisch gelisteten Markt ohne schützende Anfangseinzahlung.

9,5 Mio. $ aus zkLend auf Starknet abgezogen über einen Präzisions-Rounding-Bug in safeMath; wiederholtes Rounding blähte raw_balance bis Pools leer.

The Idols NFT verlor ~324 Tsd. $, als ein Fehler in der Staking-Belohnungsbuchhaltung wiederholte gewichtete Claims weit über Anspruch hinaus erlaubte.

11,6 Mio. $ aus Nutzern mit Infinite Approvals an LI.FI abgezogen: Eine frisch deployte Facet übersprang Validierung und ließ beliebige Aufrufe zu.

Ein Fehler in Holographs Operator-Contract ließ einen Angreifer 1 Milliarde HLG-Tokens minten, nominal 14,4 Mio. $ wert. HLG fiel in neun Stunden um 80 %.

Velocores CPMM-Pools auf zkSync und Linea verloren 6,8 Mio. $: Ein Fee-Multiplier-Overflow ließ den Angreifer riesige LP-Supply gegen winzige Auszahlung minten.

Sonne Finance verlor 20 Mio. $ auf Optimism durch eine 'Donation Attack' — ein bekannter Compound-v2-Fork-Exploit in der Lücke zwischen Deploy und Seed.

1,9 Mio. $ aus Pike Finance abgezogen, nachdem nicht initialisierte Proxy-Verträge einem Angreifer Ownership-Übernahme und CCIP-Asset-Abzug erlaubten.

Hedgey-Finance-Vesting verlor 44,7 Mio. $: Fehlende Parameter-Validierung ließ den Angreifer Kampagnen mit beliebigen Transfer-Approvals im Callback bauen.

4,8 Mio. $ aus Super Sushi Samurai auf Blast: Ein Transfer-Bug verdoppelte Sender-Guthaben bei Self-Transfer. Ein Whitehat hatte ihn zuerst entdeckt.

2,1 Mio. $ aus Unizens DEX-Aggregator abgezogen über eine unsichere External-Call-Schwachstelle in einem jüngsten Upgrade, das Nutzer mit Token-Approvals traf.

6,4 Mio. $ aus Seneca-Nutzern abgezogen über unbegrenzte Approvals an den Chamber-Vertrag ohne Pause-Funktion. Angreifer gab 80 % gegen 20 % Bounty zurück.

3,3 Mio. $ aus Socket/Bungee-Nutzern abgezogen über eine unvalidierte SocketGateway-Route, die transferFrom auf Wallets mit unbegrenzten Approvals aufrief.

54,7 Mio. $ aus KyberSwap Elastic abgezogen, nachdem ein Rundungsfehler in Concentrated-Liquidity-Math Pools doppelte Liquidität erkennen ließ.

3,3 Mio. $ R-Stablecoin durch Rundungs-/Share-Mint-Bug in Rafts Sicherheitenlogik gemintet, aber der Angreifer verbrannte ~1.570 ETH beim Cash-Out. R depeggte.

640 Tsd. $ aus Unibot-Nutzern abgezogen über einen Token-Approval-Bug im neuen Router des Telegram-Trading-Bots. Unibot erstattete betroffenen Nutzern voll.

~2,2 Mio. $ aus Platypus Finance in einem Cluster von Oktober-Exploits abgezogen — Avalanche-Stableswap durch fehlerhafte Solvenz-/Withdrawal-Logik getroffen.

2,9 Mio. $ aus Stars Arena, einer Avalanche-SocialFi-App im friend.tech-Stil, abgezogen über einen Fehler in der Anteilspreis-/Auszahlungslogik.

Angreifer übergab Fake-Market und Permit an Exactlys DebtManager auf Optimism; leverage() validierte beides nicht und zog 7,3 Mio. $ aus 117 Konten.

DEUS DAOs dritter Vorfall zog 6,5 Mio. $ über BNB, Arbitrum und Ethereum durch einen Fehler in DEIs burnFrom-/Approval-Logik ab.

Level Finance auf BNB Chain verlor 1,1 Mio. $: LevelReferralControllerV2 zahlte Referral-Rewards aus, ohne die Epoch als geclaimt zu markieren — wiederholbar.

Hundred Finance auf Optimism verlor 7 Mio. $ durch eine Donation-Attack: ein Rundungs-Bug im Compound-v2-Fork ließ winziges hWBTC den Pool drainen.

Ein fehlkonfigurierter Legacy-Yearn-iEarn-Vertrag mit falschem Fulcrum-Token mintete 1,2Q yUSDT und entzog 11 Mio. $ aus Aave v1, bevor jemand es bemerkte.

Fehlende Zugriffsprüfung in Sushis RouteProcessor2-Router ließ Bots 3,3 Mio. $ WETH aus Wallets mit Token-Approvals vor einer Whitehat-Rettung abziehen.

SafeMoon verlor 8,9 Mio. $ aus seinem WBNB-Pool, als ein Upgrade burn() öffentlich ließ. Pool-LP-Burning pumpte SFM, dann WBNB-Drain.

Ein fehlender Health-Check in Eulers donateToReserves-Funktion ließ einen Angreifer eine selbstliquidierbare Position aufbauen und 197 Mio. $ erbeuten.

Hedera-Hashgraph-Pools verloren rund 515.000 $ durch einen Smart-Contract-Service-Decompiler-Bug, der HTS-Tokens abziehen ließ. Hedera pausierte das Netzwerk.

Dexible-Nutzer verloren 2 Mio. $, nachdem selfSwap mit nutzerseitigen Daten beliebige externe Aufrufe machte und Wallets mit Approvals abzog.

3,2 Mio. $ aus Skyward Finance auf NEAR abgezogen über einen Treasury-Buchhaltungsfehler, der mehrfache SKYWARD-Einlösungen gegen dasselbe Guthaben erlaubte.

Team Finance verlor 15,8 Mio. $ bei Uniswap v2→v3-Migration: Gesperrte Tokens in verzerrtes v3-Paar verschoben, als 'Rest' für 2.700 $ Gas erstattet.

2,3 Mio. $ aus TempleDAOs StaxLPStaking abgezogen, nachdem migrateStake() den Aufrufer nicht validierte und jedem die Migration fremder Positionen erlaubte.

Transit-Swap-Nutzer mit unbegrenzten Approvals verloren 21 Mio. $: claimTokens validierte das Ziel-Token nicht. 70 % nach Verhandlungen zurück.

Ein gefälschtes Tick-Konto umging Cremas Owner-Check und erntete fiktive Gebühren via CLMM, entzog 9,6 Mio. USD auf Solana. 8 Mio. zurückgegeben.

Gym Network auf BNB Chain verlor 2,1 Mio. $: Eine Deposit-Funktion akzeptierte eine Referrer-Signatur ohne Validierung und ließ riesige GYMNET-Rewards minten.

Saddles sUSDv2-Metapool verlor 11,9 Mio. $, als ein bekannter MetaSwapUtils-Bug versehentlich neu deployt wurde; BlockSec-Bots retteten 3,97 Mio. $ vor.

Zwei fehlende Sicherheitsprüfungen ließen einen Angreifer 2 Milliarden gefälschte CASH-Stablecoins auf Cashio prägen; TVL fiel von 48 Mio. USD auf null.

~1,4 Mio. $ NFTs aus TreasureDAOs Marketplace gestohlen: Die Buy-Funktion prüfte nicht, dass Quantity einen Preis ungleich null erzeugte — Gratis-Käufe möglich.

8,7 Mio. $ aus Superfluid abgezogen, nachdem ein bösartiger 'Context' an den Host-Vertrag den Aufrufer fälschte und privilegierte Streams ausführen ließ.

~3 Mio. $ aus Tinyman, dem Haupt-AMM auf Algorand, abgezogen über einen Swap/Burn-Logikfehler in Pool-Token-Operationen über viele Pools hinweg.

Ein Fehler in Bent Finances Reward-Verteilungs-Buchhaltung ließ eine Adresse ~1,7 Mio. USD an Belohnungen weit über ihre Berechtigung beanspruchen.

31 Mio. $ aus MonoX' Single-Token-Pools abgezogen, nachdem der Angreifer einen Token mit sich selbst tauschte und MONO im Orakel des Protokolls aufpumpte.

90 Mio. $ aus Terra-basiertem Mirror Protocol über Duplikat-ID-Sicherheitenfreigaben abgezogen; sieben Monate unbemerkt bis Terras Kollaps es offenlegte.

Bug in Compounds Proposal-62-Upgrade zahlte bis zu 147 Mio. USD an ungewollten COMP-Rewards aus. Meist freiwillig zurückgegeben, ein Teil behalten.

Eine ungeschützte init()-Funktion in DAO Makers Vesting-Contracts ließ einen Angreifer die Eigentümerschaft übernehmen und 4 Mio. $ aus Nutzer-Pools abziehen.

Bug im Cross-Chain-Manager-Vertrag erlaubte Angreifer, den Keeper-Public-Key auszutauschen und 611 Mio. $ von drei Chains abzuziehen — voll zurückgegeben.

9 Mio. $ aus Punk Protocol Minuten nach Start abgezogen via delegatecall auf Initialize, das Angreifer als Forge setzte; 5 Mio. von White-Hats gerettet.

~248.000 $ aus SafeDollar auf Polygon durch einen Belohnungs-Berechnungs-Fehler abgezogen, der SDO/USDC-Reserven leerte und den Peg des Stablecoins brach.

Ein Fehler im emergencyBurn-/Withdraw-Pfad des nerveBUSD-Vaults von Eleven Finance erlaubte Withdraws ohne Share-Burn und zog rund 4,5 Mio. $ auf BNB Chain ab.

Rund 3,7 Mio. $ aus Impossible Finance auf BNB Chain abgezogen via einen Swap-Router-Fehler, der wiederholtes Swappen gegen stale Reserven in einer Tx erlaubte.

Ein Deploy-Skript-Bug erzeugte Phantom-Vaults und lenkte 6,5 Mio. USD Belohnungen um, sodass Nutzerschulden getilgt wurden. Mint in 15 Minuten gestoppt.

57,2 Mio. $ aus Uranium Finance extrahiert: Eine falsch platzierte Konstante in v2.1 (1.000.000 statt 10.000) ließ 1 Wei für 98 % der Pools tauschen.

DODOs V2-Crowdpools verloren 3,8 Mio. $, nachdem der Angreifer init() mit einem Fake-Token erneut aufrief; die Pools hatten keinen Re-Init-Guard.

Furucombo-Nutzer verloren 14 Mio. $, nachdem der Angreifer den Proxy zu einem Delegatecall auf eine bösartige Aave-v2-Pseudo-Implementierung verleitete.

Saddle Finance verlor ~276.000 $ innerhalb einer Stunde nach Launch, als ein fehlerhafter Stableswap Arbitrageuren falsch bepreiste Kurse erlaubte.

Ein Solidity-Storage/Memory-Bug in Covers Blacksmith-Vertrag prägte 40 Trillionen COVER; Preis fiel von 700 USD auf unter 5. White-Hat gab alle Mittel zurück.

19,76 Mio. DAI aus Pickle Finance abgezogen, nachdem der Angreifer zwei gefälschte 'Jar'-Verträge erstellte und eine fehlende Whitelist-Prüfung ausnutzte.

Zwei Vorfälle in vier Monaten: ein öffentlicher initWallet-Fehler entzog 30 Mio. $, dann fror ein Nutzer-'Unfall' 150 Mio. $+ in 151 Multi-Sigs ein.