Smart-Contract-Bug-Angriffe auf Ethereum

Solv Protocols BRO-Vault verlor 2,73 Mio. $: Ein ERC-3525-Double-Mint-Bug verwandelte 135 BRO in ~567M BRO in 22 Einzahlungen, getauscht in 38 SolvBTC.

SagaEVM verlor 7 Mio. $ in 11 Minuten — ein Ethermint-Bug ließ gestaltete Nachrichten die Validierung umgehen und Saga Dollar (D) ohne Deckung minten.

Truebit verlor 26,4 Mio. $: Ein Integer-Overflow in TRUs 5 Jahre alter Bonding Curve ließ Angreifer TRU fast gratis prägen und für 8.500 ETH verkaufen.

Oracle-Upgrade erzeugte 18-vs-8-Dezimal-Diskrepanz in Aevos alten Ribbon-DOV-Vaults; 2,7 Mio. USD wurden entwendet. Aevo schloss die Vaults.

USPD, ein neuerer dezentraler Stablecoin, verlor ~1 Mio. $ durch einen Mint-Fehler, der Minting gegen unzureichende Deckung erlaubte und kurz depegte.

Yearns yETH-Pool mintete 235 Septillionen yETH aus 16 Wei Einzahlung: Liquiditätsentnahme setzte Supply auf null, cached Balances blieben.

Access-Control-Lücke und Rundungsfehler in Balancer v2s Invariant-Logik entzogen ~120 Mio. USD aus Stable Pools – der größte DeFi-Exploit von 2025.

Rundungsfehler in Bunni DEXs Withdraw-Funktion entzog 8,4 Mio. USD auf Ethereum und Unichain, nachdem Devs Idle-Balance-Bewegungen falsch einschätzten.

9,8 Mio. $ aus Resupply in unter 90 Minuten abgezogen, als ein Flash-Kredit über 4.000 $ einen 2 Stunden alten wstUSR-Vault per ERC-4626-Donation ausnutzte.

Angreifer entzog Cork Protocol 12 Mio. USD (3.761 wstETH), indem er einen Markt mit fremder DS schuf und Auth über einen bösartigen Uniswap-v4-Hook umging.

Overflow-Guard-Fehler in Suis größter DEX ließ winzige Liquiditätsposition als gigantisch lesen, 223 Mio. USD entzogen, bevor Validatoren eingriffen.

355 Tsd. $ (gesamte TVL) aus SIR.trading abgezogen durch Transient-Storage-Missbrauch, der die uniswapV3SwapCallback-Aufruferprüfung fälschte.

Ein Bug im alten Fusion-v1-Resolver erlaubte Calldata-Manipulation und führte zum Diebstahl von 5 Mio. USD aus 1inch Resolver TrustedVolumes.

The Idols NFT verlor ~324 Tsd. $, als ein Fehler in der Staking-Belohnungsbuchhaltung wiederholte gewichtete Claims weit über Anspruch hinaus erlaubte.

11,6 Mio. $ aus Nutzern mit Infinite Approvals an LI.FI abgezogen: Eine frisch deployte Facet übersprang Validierung und ließ beliebige Aufrufe zu.

Ein Fehler in Holographs Operator-Contract ließ einen Angreifer 1 Milliarde HLG-Tokens minten, nominal 14,4 Mio. $ wert. HLG fiel in neun Stunden um 80 %.

1,9 Mio. $ aus Pike Finance abgezogen, nachdem nicht initialisierte Proxy-Verträge einem Angreifer Ownership-Übernahme und CCIP-Asset-Abzug erlaubten.

Hedgey-Finance-Vesting verlor 44,7 Mio. $: Fehlende Parameter-Validierung ließ den Angreifer Kampagnen mit beliebigen Transfer-Approvals im Callback bauen.

2,1 Mio. $ aus Unizens DEX-Aggregator abgezogen über eine unsichere External-Call-Schwachstelle in einem jüngsten Upgrade, das Nutzer mit Token-Approvals traf.

6,4 Mio. $ aus Seneca-Nutzern abgezogen über unbegrenzte Approvals an den Chamber-Vertrag ohne Pause-Funktion. Angreifer gab 80 % gegen 20 % Bounty zurück.

3,3 Mio. $ aus Socket/Bungee-Nutzern abgezogen über eine unvalidierte SocketGateway-Route, die transferFrom auf Wallets mit unbegrenzten Approvals aufrief.

54,7 Mio. $ aus KyberSwap Elastic abgezogen, nachdem ein Rundungsfehler in Concentrated-Liquidity-Math Pools doppelte Liquidität erkennen ließ.

3,3 Mio. $ R-Stablecoin durch Rundungs-/Share-Mint-Bug in Rafts Sicherheitenlogik gemintet, aber der Angreifer verbrannte ~1.570 ETH beim Cash-Out. R depeggte.

640 Tsd. $ aus Unibot-Nutzern abgezogen über einen Token-Approval-Bug im neuen Router des Telegram-Trading-Bots. Unibot erstattete betroffenen Nutzern voll.

DEUS DAOs dritter Vorfall zog 6,5 Mio. $ über BNB, Arbitrum und Ethereum durch einen Fehler in DEIs burnFrom-/Approval-Logik ab.

Ein fehlkonfigurierter Legacy-Yearn-iEarn-Vertrag mit falschem Fulcrum-Token mintete 1,2Q yUSDT und entzog 11 Mio. $ aus Aave v1, bevor jemand es bemerkte.

Fehlende Zugriffsprüfung in Sushis RouteProcessor2-Router ließ Bots 3,3 Mio. $ WETH aus Wallets mit Token-Approvals vor einer Whitehat-Rettung abziehen.

Ein fehlender Health-Check in Eulers donateToReserves-Funktion ließ einen Angreifer eine selbstliquidierbare Position aufbauen und 197 Mio. $ erbeuten.

Dexible-Nutzer verloren 2 Mio. $, nachdem selfSwap mit nutzerseitigen Daten beliebige externe Aufrufe machte und Wallets mit Approvals abzog.

Team Finance verlor 15,8 Mio. $ bei Uniswap v2→v3-Migration: Gesperrte Tokens in verzerrtes v3-Paar verschoben, als 'Rest' für 2.700 $ Gas erstattet.

2,3 Mio. $ aus TempleDAOs StaxLPStaking abgezogen, nachdem migrateStake() den Aufrufer nicht validierte und jedem die Migration fremder Positionen erlaubte.

Transit-Swap-Nutzer mit unbegrenzten Approvals verloren 21 Mio. $: claimTokens validierte das Ziel-Token nicht. 70 % nach Verhandlungen zurück.

Saddles sUSDv2-Metapool verlor 11,9 Mio. $, als ein bekannter MetaSwapUtils-Bug versehentlich neu deployt wurde; BlockSec-Bots retteten 3,97 Mio. $ vor.

Ein Fehler in Bent Finances Reward-Verteilungs-Buchhaltung ließ eine Adresse ~1,7 Mio. USD an Belohnungen weit über ihre Berechtigung beanspruchen.

31 Mio. $ aus MonoX' Single-Token-Pools abgezogen, nachdem der Angreifer einen Token mit sich selbst tauschte und MONO im Orakel des Protokolls aufpumpte.

Bug in Compounds Proposal-62-Upgrade zahlte bis zu 147 Mio. USD an ungewollten COMP-Rewards aus. Meist freiwillig zurückgegeben, ein Teil behalten.

Eine ungeschützte init()-Funktion in DAO Makers Vesting-Contracts ließ einen Angreifer die Eigentümerschaft übernehmen und 4 Mio. $ aus Nutzer-Pools abziehen.

Bug im Cross-Chain-Manager-Vertrag erlaubte Angreifer, den Keeper-Public-Key auszutauschen und 611 Mio. $ von drei Chains abzuziehen — voll zurückgegeben.

9 Mio. $ aus Punk Protocol Minuten nach Start abgezogen via delegatecall auf Initialize, das Angreifer als Forge setzte; 5 Mio. von White-Hats gerettet.

Ein Deploy-Skript-Bug erzeugte Phantom-Vaults und lenkte 6,5 Mio. USD Belohnungen um, sodass Nutzerschulden getilgt wurden. Mint in 15 Minuten gestoppt.

DODOs V2-Crowdpools verloren 3,8 Mio. $, nachdem der Angreifer init() mit einem Fake-Token erneut aufrief; die Pools hatten keinen Re-Init-Guard.

Furucombo-Nutzer verloren 14 Mio. $, nachdem der Angreifer den Proxy zu einem Delegatecall auf eine bösartige Aave-v2-Pseudo-Implementierung verleitete.

Saddle Finance verlor ~276.000 $ innerhalb einer Stunde nach Launch, als ein fehlerhafter Stableswap Arbitrageuren falsch bepreiste Kurse erlaubte.

Ein Solidity-Storage/Memory-Bug in Covers Blacksmith-Vertrag prägte 40 Trillionen COVER; Preis fiel von 700 USD auf unter 5. White-Hat gab alle Mittel zurück.

19,76 Mio. DAI aus Pickle Finance abgezogen, nachdem der Angreifer zwei gefälschte 'Jar'-Verträge erstellte und eine fehlende Whitelist-Prüfung ausnutzte.

Zwei Vorfälle in vier Monaten: ein öffentlicher initWallet-Fehler entzog 30 Mio. $, dann fror ein Nutzer-'Unfall' 150 Mio. $+ in 151 Multi-Sigs ein.