Arbitrum — Hacks & Exploits

1 Mrd. gebridgte DOT auf Hyperbridge gemintet, nachdem ein fehlender Bounds-Check in VerifyProof MMR-Proof-Fälschung erlaubte; realer Verlust ~2,5 Mio. $.

UXLINK, ein Web3-Social-Protokoll, verlor rund 41 Mio. $ nach Kompromittierung der Multi-Sig-Keys und Ausnutzung eines uneingeschränkten delegatecall-Pfads.

Eine Hot-Wallet-Kompromittierung über 7 Chains entzog BtcTurk 48 Mio. USD, ihr zweiter großer Hack in 14 Monaten. Cold Storage blieb unangetastet.

Ein reentrancy-naher Fehler in der GLP-Preislogik von GMX v1 ließ einen Angreifer rund 42 Mio. $ abziehen — das meiste binnen Tagen gegen Bounty zurück.

Angreifer entzog Abracadabras GM Cauldrons 13 Mio. USD (6.260 ETH) durch fehlschlagende GMX-Einlage, Selbst-Liquidation und erneutes Leihen der Sicherheit.

Moby Trade, ein Arbitrum-Options-Protokoll, verlor ~1 Mio. $ nach Kompromiss eines privilegierten Schlüssels. SEAL-White-Hats begrenzten den Schaden.

53 Mio. $ aus einem 3-von-11-Radiant-Multi-Sig abgezogen, nachdem macOS-Malware drei Signierer traf; Safe-UI zeigte saubere Txs, Wallets signierten Upgrades.

DeltaPrime verlor 6 Mio. $ auf Arbitrum durch einen extrahierten Private Key; das Team nutzte Multi-Sig auf Avalanche, nicht auf Arbitrum.

11,6 Mio. $ aus Nutzern mit Infinite Approvals an LI.FI abgezogen: Eine frisch deployte Facet übersprang Validierung und ließ beliebige Aufrufe zu.

1,9 Mio. $ aus Pike Finance abgezogen, nachdem nicht initialisierte Proxy-Verträge einem Angreifer Ownership-Übernahme und CCIP-Asset-Abzug erlaubten.

Hedgey-Finance-Vesting verlor 44,7 Mio. $: Fehlende Parameter-Validierung ließ den Angreifer Kampagnen mit beliebigen Transfer-Approvals im Callback bauen.

WOOFi Swap auf Arbitrum verlor 8,75 Mio. $: WOOs Chainlink-Orakel war nie konfiguriert, sPMM akzeptierte jeden manipulierten Preis.

6,4 Mio. $ aus Seneca-Nutzern abgezogen über unbegrenzte Approvals an den Chamber-Vertrag ohne Pause-Funktion. Angreifer gab 80 % gegen 20 % Bounty zurück.

Orange Finance auf Arbitrum verlor ~844.000 $, nachdem sein Admin-Schlüssel Strategie-Verträge änderte und Uniswap-v3-Positionen abzog.

Gamma Strategies auf Arbitrum verlor 6,1 Mio. $: ein schwacher Deposit-Proxy-Preis-Check ließ Flash-Loan-Deposit zu verzerrtem Kurs und übergroßen Withdraw zu.

54,7 Mio. $ aus KyberSwap Elastic abgezogen, nachdem ein Rundungsfehler in Concentrated-Liquidity-Math Pools doppelte Liquidität erkennen ließ.

1,14 Mio. $ aus Steadefi auf Arbitrum und Avalanche abgezogen, nachdem ein Deployer-Private-Key-Diebstahl die Übernahme von Leverage-Vaults ermöglichte.

7,5 Mio. $ aus Jimbo's Protocol auf Arbitrum extrahiert: Ein Slippage-Control-Fehler in JimboController.shift() ließ Flash-Loan-Drain der Floor-Defense-ETH zu.

3 Mio. $ aus Swaprum auf Arbitrum rug-pulled: Ein Arbiswap-Fork, dessen auditierte Verträge eine Backdoor-add()-Funktion in einem upgradeable Proxy versteckten.

DEUS DAOs dritter Vorfall zog 6,5 Mio. $ über BNB, Arbitrum und Ethereum durch einen Fehler in DEIs burnFrom-/Approval-Logik ab.

Fehlende Zugriffsprüfung in Sushis RouteProcessor2-Router ließ Bots 3,3 Mio. $ WETH aus Wallets mit Token-Approvals vor einer Whitehat-Rettung abziehen.

Hope Finance verlor 1,86 Mio. $ am Arbitrum-Launch, weil der deployte Contract vom auditierten abwich; die Gelder gingen direkt zu Tornado Cash.

Dexible-Nutzer verloren 2 Mio. $, nachdem selfSwap mit nutzerseitigen Daten beliebige externe Aufrufe machte und Wallets mit Approvals abzog.

Curve Read-Only-Reentrancy auf remove_liquidity zog 3,65 Mio. $ aus dForces wstETH/ETH-Pool auf Arbitrum und Optimism ab. White Hat gab alles zurück.

Lodestar auf Arbitrum verlor 6,5 Mio. $: Sein plvGLP-Orakel ignorierte donate()-Inflation, sodass Angreifer gegen 83 %-aufgeblähtes Collateral lieh.

Lodestar auf Arbitrum verlor 6,5 Mio. $, nachdem der Angreifer das plvGLP-Orakel manipulierte, das den GLP-Pool-Status direkt las und Kredite ermöglichte.

~1,4 Mio. $ NFTs aus TreasureDAOs Marketplace gestohlen: Die Buy-Funktion prüfte nicht, dass Quantity einen Preis ungleich null erzeugte — Gratis-Käufe möglich.

Certik-auditiertes Arbix Finance auf Arbitrum prägte 10M ARBX an Angreiferadressen, entzog 10 Mio. USD und löschte seine gesamte Web- und Social-Präsenz.