Smart-Contract-Bug-Angriffe auf Arbitrum

Ein reentrancy-naher Fehler in der GLP-Preislogik von GMX v1 ließ einen Angreifer rund 42 Mio. $ abziehen — das meiste binnen Tagen gegen Bounty zurück.

Angreifer entzog Abracadabras GM Cauldrons 13 Mio. USD (6.260 ETH) durch fehlschlagende GMX-Einlage, Selbst-Liquidation und erneutes Leihen der Sicherheit.

11,6 Mio. $ aus Nutzern mit Infinite Approvals an LI.FI abgezogen: Eine frisch deployte Facet übersprang Validierung und ließ beliebige Aufrufe zu.

1,9 Mio. $ aus Pike Finance abgezogen, nachdem nicht initialisierte Proxy-Verträge einem Angreifer Ownership-Übernahme und CCIP-Asset-Abzug erlaubten.

Hedgey-Finance-Vesting verlor 44,7 Mio. $: Fehlende Parameter-Validierung ließ den Angreifer Kampagnen mit beliebigen Transfer-Approvals im Callback bauen.

6,4 Mio. $ aus Seneca-Nutzern abgezogen über unbegrenzte Approvals an den Chamber-Vertrag ohne Pause-Funktion. Angreifer gab 80 % gegen 20 % Bounty zurück.

54,7 Mio. $ aus KyberSwap Elastic abgezogen, nachdem ein Rundungsfehler in Concentrated-Liquidity-Math Pools doppelte Liquidität erkennen ließ.

DEUS DAOs dritter Vorfall zog 6,5 Mio. $ über BNB, Arbitrum und Ethereum durch einen Fehler in DEIs burnFrom-/Approval-Logik ab.

Fehlende Zugriffsprüfung in Sushis RouteProcessor2-Router ließ Bots 3,3 Mio. $ WETH aus Wallets mit Token-Approvals vor einer Whitehat-Rettung abziehen.

Dexible-Nutzer verloren 2 Mio. $, nachdem selfSwap mit nutzerseitigen Daten beliebige externe Aufrufe machte und Wallets mit Approvals abzog.

~1,4 Mio. $ NFTs aus TreasureDAOs Marketplace gestohlen: Die Buy-Funktion prüfte nicht, dass Quantity einen Preis ungleich null erzeugte — Gratis-Käufe möglich.