Smart-Contract-Bug-Angriffe auf BNB Chain

TMXTribe, ein Staking/Rewards-Protokoll, verlor ~1,4 Mio. $, als ein Verteilungs-Buchhaltungsfehler wiederholte Über-Claims und Pool-Drain erlaubte.

Fehler in Credix Finances Credit-Token-Mint-Logik auf BNB Chain ließ Angreifer fabrizierte Positionen prägen und einlösen, entzog 4,5 Mio. USD aus dem Pool.

2,15 Mio. $ aus MobiusDAO auf BNB Chain abgezogen — doppelte 10^18-Skalierung erlaubte 9,73 Billiarden MBU aus 0,01 BNB; via Tornado Cash gewaschen.

DEUS DAOs dritter Vorfall zog 6,5 Mio. $ über BNB, Arbitrum und Ethereum durch einen Fehler in DEIs burnFrom-/Approval-Logik ab.

Level Finance auf BNB Chain verlor 1,1 Mio. $: LevelReferralControllerV2 zahlte Referral-Rewards aus, ohne die Epoch als geclaimt zu markieren — wiederholbar.

SafeMoon verlor 8,9 Mio. $ aus seinem WBNB-Pool, als ein Upgrade burn() öffentlich ließ. Pool-LP-Burning pumpte SFM, dann WBNB-Drain.

Transit-Swap-Nutzer mit unbegrenzten Approvals verloren 21 Mio. $: claimTokens validierte das Ziel-Token nicht. 70 % nach Verhandlungen zurück.

Gym Network auf BNB Chain verlor 2,1 Mio. $: Eine Deposit-Funktion akzeptierte eine Referrer-Signatur ohne Validierung und ließ riesige GYMNET-Rewards minten.

Bug im Cross-Chain-Manager-Vertrag erlaubte Angreifer, den Keeper-Public-Key auszutauschen und 611 Mio. $ von drei Chains abzuziehen — voll zurückgegeben.

Ein Fehler im emergencyBurn-/Withdraw-Pfad des nerveBUSD-Vaults von Eleven Finance erlaubte Withdraws ohne Share-Burn und zog rund 4,5 Mio. $ auf BNB Chain ab.

Rund 3,7 Mio. $ aus Impossible Finance auf BNB Chain abgezogen via einen Swap-Router-Fehler, der wiederholtes Swappen gegen stale Reserven in einer Tx erlaubte.

57,2 Mio. $ aus Uranium Finance extrahiert: Eine falsch platzierte Konstante in v2.1 (1.000.000 statt 10.000) ließ 1 Wei für 98 % der Pools tauschen.

DODOs V2-Crowdpools verloren 3,8 Mio. $, nachdem der Angreifer init() mit einem Fake-Token erneut aufrief; die Pools hatten keinen Re-Init-Guard.