Drain des Privacy-Protokolls Hinkal
Ein Angreifer entwendete Hinkal rund 820.000 USD in USDC — nahezu die gesamte chainübergreifende TVL — über ungeprüfte 'proofless'-Einzahlungen und wusch die Beute über Tornado Cash und THORChain.
Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.
Ein Angreifer entwendete Hinkal rund 820.000 USD in USDC — nahezu die gesamte chainübergreifende TVL — über ungeprüfte 'proofless'-Einzahlungen und wusch die Beute über Tornado Cash und THORChain.
Ein Deflations-Burn-Fehler im OLPC-Token erzeugte ein Reserve-Mismatch in einem PancakeSwap-V2-Pool, sodass ein Angreifer LABUBU zu verzerrtem Preis aufkaufte und rund 1,1 Mio. USD abzog.
Ein Angreifer prägte einen wertlosen EVIL-Token, um die Buchführung der Concentrated-Liquidity-Pools von mySwap auf Starknet zu verfälschen, und zog rund 305.000 USD an Rest-LP-Mitteln ab.
Ein Fehler in der IBC-Transferlogik erlaubte den Abzug von rund 600.000 USD an abgeschirmten Assets aus Namadas MASP, kurzzeitig durch einen veralteten Indexer verschleiert.
Ein transferFrom mit Nullwert umging die Allowance-Prüfung und löste ein unautorisiertes Reward-Minting in das PancakeSwap-Paar aus, wodurch ein Angreifer rund 378.000 USD aus Little Boy Plus abzog.
Ein Angreifer erbeutete rund 2,16 Mio. USD aus Aztecs abgeschalteter Private Rollup Bridge über eine ungeschützte escapeHatch und gefälschte Proof-Daten — Aztecs zweiter Hack in einer Woche.
Ein fehlendes Return in der _transfer-Funktion des DIP-Tokens ließ einen Angreifer die PancakeSwap-Reserven per skim/sync desynchronisieren und rund 111.000 USD abziehen.
Ein Rundungsfehler in einem veralteten Thetanuts-Vault erlaubte das kostenlose Minten von Option-Tokens und den Abzug von rund 2,1 Mio. USD auf Ethereum; White-Hats holten ca. 2 Mio. zurück.
Ein Angreifer erbeutete rund 2,1 Mio. USD aus der abgeschalteten Aztec-Connect-Bridge, indem er eine lückenhafte Proof-Prüfung ausnutzte und ungedeckte Guthaben abhob.
Ein Angreifer entwendete rund 1,34 Mio. USD aus fünf inaktiven Raydium-AMM-V3-Pools auf Solana, indem er einen gefälschten LP-Token prägte, der die Abhebungsprüfungen des veralteten Programms umging.
Ein Fehler in der Signaturprüfung des Zodiac Delay Module ließ einen Angreifer Gnosis Pays Zeitsperre umgehen und rund 1,5 Mio. USD aus 5.281 Nutzer-Safes abziehen; Gnosis erstattete 100 %.
Eine Confused-Deputy-Schwachstelle im Drittanbieter-Modul SquidRouterModule ermöglichte den Diebstahl von rund 3,8 Mio. USD aus 88 Gnosis-Safe-Wallets auf Ethereum, Base und Arbitrum.
Der Cross-Chain-Aggregator Transit Finance verlor am 13. Mai 2026 ~1,88 Mio. $ in DAI — ein zweiter Mehr-Millionen-Vorfall nach der Proxy-Approval-Bresche von Oktober 2022.
Rhea Finance auf NEAR verlor 18,4 Mio. $ nach zweitägiger Vorbereitung von Fake-Tokens, 423 Wallets und 8 Ref-Pools, die einen Slippage-Bug ausnutzten.
Solv Protocols BRO-Vault verlor 2,73 Mio. $: Ein ERC-3525-Double-Mint-Bug verwandelte 135 BRO in ~567M BRO in 22 Einzahlungen, getauscht in 38 SolvBTC.
SagaEVM verlor 7 Mio. $ in 11 Minuten — ein Ethermint-Bug ließ gestaltete Nachrichten die Validierung umgehen und Saga Dollar (D) ohne Deckung minten.
TMXTribe, ein Staking/Rewards-Protokoll, verlor ~1,4 Mio. $, als ein Verteilungs-Buchhaltungsfehler wiederholte Über-Claims und Pool-Drain erlaubte.
Truebit verlor 26,4 Mio. $: Ein Integer-Overflow in TRUs 5 Jahre alter Bonding Curve ließ Angreifer TRU fast gratis prägen und für 8.500 ETH verkaufen.
Oracle-Upgrade erzeugte 18-vs-8-Dezimal-Diskrepanz in Aevos alten Ribbon-DOV-Vaults; 2,7 Mio. USD wurden entwendet. Aevo schloss die Vaults.
USPD, ein neuerer dezentraler Stablecoin, verlor ~1 Mio. $ durch einen Mint-Fehler, der Minting gegen unzureichende Deckung erlaubte und kurz depegte.
Yearns yETH-Pool mintete 235 Septillionen yETH aus 16 Wei Einzahlung: Liquiditätsentnahme setzte Supply auf null, cached Balances blieben.
Access-Control-Lücke und Rundungsfehler in Balancer v2s Invariant-Logik entzogen ~120 Mio. USD aus Stable Pools – der größte DeFi-Exploit von 2025.
Rundungsfehler in Bunni DEXs Withdraw-Funktion entzog 8,4 Mio. USD auf Ethereum und Unichain, nachdem Devs Idle-Balance-Bewegungen falsch einschätzten.
Odin.fun, ein Bitcoin-Memecoin-Launchpad, verlor ~7 Mio. $ als Angreifer Bonding-Curve-Liquiditätsbuchhaltung manipulierten, um BTC-Pools zu leeren.
Fehler in der Fee/Reward-Verteilung erlaubte wiederholte Wertentnahme aus BetterBanks PulseChain-Pools – 5 Mio. USD entzogen, später teilweise zurück.
Fehler in Credix Finances Credit-Token-Mint-Logik auf BNB Chain ließ Angreifer fabrizierte Positionen prägen und einlösen, entzog 4,5 Mio. USD aus dem Pool.
Ein reentrancy-naher Fehler in der GLP-Preislogik von GMX v1 ließ einen Angreifer rund 42 Mio. $ abziehen — das meiste binnen Tagen gegen Bounty zurück.
9,8 Mio. $ aus Resupply in unter 90 Minuten abgezogen, als ein Flash-Kredit über 4.000 $ einen 2 Stunden alten wstUSR-Vault per ERC-4626-Donation ausnutzte.
Eine Schwäche der Self-Listing-Verifikation entzog ALEX Protocol auf Stacks 8,37 Mio. USD (bis 16,2 Mio. mit ALEX) – zweiter Vorfall in 13 Monaten.
Angreifer entzog Cork Protocol 12 Mio. USD (3.761 wstETH), indem er einen Markt mit fremder DS schuf und Auth über einen bösartigen Uniswap-v4-Hook umging.
Overflow-Guard-Fehler in Suis größter DEX ließ winzige Liquiditätsposition als gigantisch lesen, 223 Mio. USD entzogen, bevor Validatoren eingriffen.
2,15 Mio. $ aus MobiusDAO auf BNB Chain abgezogen — doppelte 10^18-Skalierung erlaubte 9,73 Billiarden MBU aus 0,01 BNB; via Tornado Cash gewaschen.
355 Tsd. $ (gesamte TVL) aus SIR.trading abgezogen durch Transient-Storage-Missbrauch, der die uniswapV3SwapCallback-Aufruferprüfung fälschte.
Angreifer entzog Abracadabras GM Cauldrons 13 Mio. USD (6.260 ETH) durch fehlschlagende GMX-Einlage, Selbst-Liquidation und erneutes Leihen der Sicherheit.
Ein Bug im alten Fusion-v1-Resolver erlaubte Calldata-Manipulation und führte zum Diebstahl von 5 Mio. USD aus 1inch Resolver TrustedVolumes.
ZeroLend verlor ~371 Tsd. $ durch klassischen Empty-Market-Share-Inflation-Donation-Angriff auf einen frisch gelisteten Markt ohne schützende Anfangseinzahlung.
9,5 Mio. $ aus zkLend auf Starknet abgezogen über einen Präzisions-Rounding-Bug in safeMath; wiederholtes Rounding blähte raw_balance bis Pools leer.
The Idols NFT verlor ~324 Tsd. $, als ein Fehler in der Staking-Belohnungsbuchhaltung wiederholte gewichtete Claims weit über Anspruch hinaus erlaubte.
11,6 Mio. $ aus Nutzern mit Infinite Approvals an LI.FI abgezogen: Eine frisch deployte Facet übersprang Validierung und ließ beliebige Aufrufe zu.
Ein Fehler in Holographs Operator-Contract ließ einen Angreifer 1 Milliarde HLG-Tokens minten, nominal 14,4 Mio. $ wert. HLG fiel in neun Stunden um 80 %.
Velocores CPMM-Pools auf zkSync und Linea verloren 6,8 Mio. $: Ein Fee-Multiplier-Overflow ließ den Angreifer riesige LP-Supply gegen winzige Auszahlung minten.
Sonne Finance verlor 20 Mio. $ auf Optimism durch eine 'Donation Attack' — ein bekannter Compound-v2-Fork-Exploit in der Lücke zwischen Deploy und Seed.
1,9 Mio. $ aus Pike Finance abgezogen, nachdem nicht initialisierte Proxy-Verträge einem Angreifer Ownership-Übernahme und CCIP-Asset-Abzug erlaubten.
Hedgey-Finance-Vesting verlor 44,7 Mio. $: Fehlende Parameter-Validierung ließ den Angreifer Kampagnen mit beliebigen Transfer-Approvals im Callback bauen.
4,8 Mio. $ aus Super Sushi Samurai auf Blast: Ein Transfer-Bug verdoppelte Sender-Guthaben bei Self-Transfer. Ein Whitehat hatte ihn zuerst entdeckt.
2,1 Mio. $ aus Unizens DEX-Aggregator abgezogen über eine unsichere External-Call-Schwachstelle in einem jüngsten Upgrade, das Nutzer mit Token-Approvals traf.
6,4 Mio. $ aus Seneca-Nutzern abgezogen über unbegrenzte Approvals an den Chamber-Vertrag ohne Pause-Funktion. Angreifer gab 80 % gegen 20 % Bounty zurück.
3,3 Mio. $ aus Socket/Bungee-Nutzern abgezogen über eine unvalidierte SocketGateway-Route, die transferFrom auf Wallets mit unbegrenzten Approvals aufrief.
54,7 Mio. $ aus KyberSwap Elastic abgezogen, nachdem ein Rundungsfehler in Concentrated-Liquidity-Math Pools doppelte Liquidität erkennen ließ.
3,3 Mio. $ R-Stablecoin durch Rundungs-/Share-Mint-Bug in Rafts Sicherheitenlogik gemintet, aber der Angreifer verbrannte ~1.570 ETH beim Cash-Out. R depeggte.
640 Tsd. $ aus Unibot-Nutzern abgezogen über einen Token-Approval-Bug im neuen Router des Telegram-Trading-Bots. Unibot erstattete betroffenen Nutzern voll.
~2,2 Mio. $ aus Platypus Finance in einem Cluster von Oktober-Exploits abgezogen — Avalanche-Stableswap durch fehlerhafte Solvenz-/Withdrawal-Logik getroffen.
2,9 Mio. $ aus Stars Arena, einer Avalanche-SocialFi-App im friend.tech-Stil, abgezogen über einen Fehler in der Anteilspreis-/Auszahlungslogik.
Angreifer übergab Fake-Market und Permit an Exactlys DebtManager auf Optimism; leverage() validierte beides nicht und zog 7,3 Mio. $ aus 117 Konten.
DEUS DAOs dritter Vorfall zog 6,5 Mio. $ über BNB, Arbitrum und Ethereum durch einen Fehler in DEIs burnFrom-/Approval-Logik ab.
Level Finance auf BNB Chain verlor 1,1 Mio. $: LevelReferralControllerV2 zahlte Referral-Rewards aus, ohne die Epoch als geclaimt zu markieren — wiederholbar.
Hundred Finance auf Optimism verlor 7 Mio. $ durch eine Donation-Attack: ein Rundungs-Bug im Compound-v2-Fork ließ winziges hWBTC den Pool drainen.
Ein fehlkonfigurierter Legacy-Yearn-iEarn-Vertrag mit falschem Fulcrum-Token mintete 1,2Q yUSDT und entzog 11 Mio. $ aus Aave v1, bevor jemand es bemerkte.
Fehlende Zugriffsprüfung in Sushis RouteProcessor2-Router ließ Bots 3,3 Mio. $ WETH aus Wallets mit Token-Approvals vor einer Whitehat-Rettung abziehen.
SafeMoon verlor 8,9 Mio. $ aus seinem WBNB-Pool, als ein Upgrade burn() öffentlich ließ. Pool-LP-Burning pumpte SFM, dann WBNB-Drain.
Ein fehlender Health-Check in Eulers donateToReserves-Funktion ließ einen Angreifer eine selbstliquidierbare Position aufbauen und 197 Mio. $ erbeuten.
Hedera-Hashgraph-Pools verloren rund 515.000 $ durch einen Smart-Contract-Service-Decompiler-Bug, der HTS-Tokens abziehen ließ. Hedera pausierte das Netzwerk.
Dexible-Nutzer verloren 2 Mio. $, nachdem selfSwap mit nutzerseitigen Daten beliebige externe Aufrufe machte und Wallets mit Approvals abzog.
3,2 Mio. $ aus Skyward Finance auf NEAR abgezogen über einen Treasury-Buchhaltungsfehler, der mehrfache SKYWARD-Einlösungen gegen dasselbe Guthaben erlaubte.
Team Finance verlor 15,8 Mio. $ bei Uniswap v2→v3-Migration: Gesperrte Tokens in verzerrtes v3-Paar verschoben, als 'Rest' für 2.700 $ Gas erstattet.
2,3 Mio. $ aus TempleDAOs StaxLPStaking abgezogen, nachdem migrateStake() den Aufrufer nicht validierte und jedem die Migration fremder Positionen erlaubte.
Transit-Swap-Nutzer mit unbegrenzten Approvals verloren 21 Mio. $: claimTokens validierte das Ziel-Token nicht. 70 % nach Verhandlungen zurück.
Ein gefälschtes Tick-Konto umging Cremas Owner-Check und erntete fiktive Gebühren via CLMM, entzog 9,6 Mio. USD auf Solana. 8 Mio. zurückgegeben.
Gym Network auf BNB Chain verlor 2,1 Mio. $: Eine Deposit-Funktion akzeptierte eine Referrer-Signatur ohne Validierung und ließ riesige GYMNET-Rewards minten.
Saddles sUSDv2-Metapool verlor 11,9 Mio. $, als ein bekannter MetaSwapUtils-Bug versehentlich neu deployt wurde; BlockSec-Bots retteten 3,97 Mio. $ vor.
Zwei fehlende Sicherheitsprüfungen ließen einen Angreifer 2 Milliarden gefälschte CASH-Stablecoins auf Cashio prägen; TVL fiel von 48 Mio. USD auf null.
~1,4 Mio. $ NFTs aus TreasureDAOs Marketplace gestohlen: Die Buy-Funktion prüfte nicht, dass Quantity einen Preis ungleich null erzeugte — Gratis-Käufe möglich.
8,7 Mio. $ aus Superfluid abgezogen, nachdem ein bösartiger 'Context' an den Host-Vertrag den Aufrufer fälschte und privilegierte Streams ausführen ließ.
~3 Mio. $ aus Tinyman, dem Haupt-AMM auf Algorand, abgezogen über einen Swap/Burn-Logikfehler in Pool-Token-Operationen über viele Pools hinweg.
Ein Fehler in Bent Finances Reward-Verteilungs-Buchhaltung ließ eine Adresse ~1,7 Mio. USD an Belohnungen weit über ihre Berechtigung beanspruchen.
31 Mio. $ aus MonoX' Single-Token-Pools abgezogen, nachdem der Angreifer einen Token mit sich selbst tauschte und MONO im Orakel des Protokolls aufpumpte.
90 Mio. $ aus Terra-basiertem Mirror Protocol über Duplikat-ID-Sicherheitenfreigaben abgezogen; sieben Monate unbemerkt bis Terras Kollaps es offenlegte.
Bug in Compounds Proposal-62-Upgrade zahlte bis zu 147 Mio. USD an ungewollten COMP-Rewards aus. Meist freiwillig zurückgegeben, ein Teil behalten.
Eine ungeschützte init()-Funktion in DAO Makers Vesting-Contracts ließ einen Angreifer die Eigentümerschaft übernehmen und 4 Mio. $ aus Nutzer-Pools abziehen.
Bug im Cross-Chain-Manager-Vertrag erlaubte Angreifer, den Keeper-Public-Key auszutauschen und 611 Mio. $ von drei Chains abzuziehen — voll zurückgegeben.
9 Mio. $ aus Punk Protocol Minuten nach Start abgezogen via delegatecall auf Initialize, das Angreifer als Forge setzte; 5 Mio. von White-Hats gerettet.
~248.000 $ aus SafeDollar auf Polygon durch einen Belohnungs-Berechnungs-Fehler abgezogen, der SDO/USDC-Reserven leerte und den Peg des Stablecoins brach.
Ein Fehler im emergencyBurn-/Withdraw-Pfad des nerveBUSD-Vaults von Eleven Finance erlaubte Withdraws ohne Share-Burn und zog rund 4,5 Mio. $ auf BNB Chain ab.
Rund 3,7 Mio. $ aus Impossible Finance auf BNB Chain abgezogen via einen Swap-Router-Fehler, der wiederholtes Swappen gegen stale Reserven in einer Tx erlaubte.
Ein Deploy-Skript-Bug erzeugte Phantom-Vaults und lenkte 6,5 Mio. USD Belohnungen um, sodass Nutzerschulden getilgt wurden. Mint in 15 Minuten gestoppt.
57,2 Mio. $ aus Uranium Finance extrahiert: Eine falsch platzierte Konstante in v2.1 (1.000.000 statt 10.000) ließ 1 Wei für 98 % der Pools tauschen.
DODOs V2-Crowdpools verloren 3,8 Mio. $, nachdem der Angreifer init() mit einem Fake-Token erneut aufrief; die Pools hatten keinen Re-Init-Guard.
Furucombo-Nutzer verloren 14 Mio. $, nachdem der Angreifer den Proxy zu einem Delegatecall auf eine bösartige Aave-v2-Pseudo-Implementierung verleitete.
Saddle Finance verlor ~276.000 $ innerhalb einer Stunde nach Launch, als ein fehlerhafter Stableswap Arbitrageuren falsch bepreiste Kurse erlaubte.
Ein Solidity-Storage/Memory-Bug in Covers Blacksmith-Vertrag prägte 40 Trillionen COVER; Preis fiel von 700 USD auf unter 5. White-Hat gab alle Mittel zurück.
19,76 Mio. DAI aus Pickle Finance abgezogen, nachdem der Angreifer zwei gefälschte 'Jar'-Verträge erstellte und eine fehlende Whitelist-Prüfung ausnutzte.
Zwei Vorfälle in vier Monaten: ein öffentlicher initWallet-Fehler entzog 30 Mio. $, dann fror ein Nutzer-'Unfall' 150 Mio. $+ in 151 Multi-Sigs ein.