BNB Chain — Hacks & Exploits

1 Mrd. gebridgte DOT auf Hyperbridge gemintet, nachdem ein fehlender Bounds-Check in VerifyProof MMR-Proof-Fälschung erlaubte; realer Verlust ~2,5 Mio. $.

Ein Venus-Protocol-Nutzer wurde gephisht und delegierte Kontokontrolle, ~3,7 Mio. $ verloren. Venus-Verträge wurden nicht kompromittiert.

TMXTribe, ein Staking/Rewards-Protokoll, verlor ~1,4 Mio. $, als ein Verteilungs-Buchhaltungsfehler wiederholte Über-Claims und Pool-Drain erlaubte.

Wahrscheinlicher Private-Key-Diebstahl gab Angreifern Kontrolle über GANA Payments BSC-Contract; sie manipulierten Reward-Raten und zogen 3,1 Mio. $ ab.

GriffinAI, ein AI-Agent-Krypto-Projekt, verlor rund 3 Mio. $ durch einen Bridge-/Mint-Fehler, der ungedecktes GAIN minten ließ — Preis kollabierte.

~2 Mio. $ rug-pulled von New Gold Protocol, einem 'goldgedeckten' BNB-Chain-Yield-Projekt; privilegierte Autorität leerte Einzahlungen vor Verschwinden.

Fehler in Credix Finances Credit-Token-Mint-Logik auf BNB Chain ließ Angreifer fabrizierte Positionen prägen und einlösen, entzog 4,5 Mio. USD aus dem Pool.

Über 90 Mio. $ von Irans größter Börse durch Predatory Sparrow entwendet, dann an Anti-IRGC-Adressen verbrannt — Zerstörungs- statt Profit-Hack.

Access-Control-Fehler zog 3,76 Mio. $ aus Nervos' Force Bridge auf Ethereum und BNB Chain ab; die Beute wurde über Tornado Cash und FixedFloat gewaschen.

2,15 Mio. $ aus MobiusDAO auf BNB Chain abgezogen — doppelte 10^18-Skalierung erlaubte 9,73 Billiarden MBU aus 0,01 BNB; via Tornado Cash gewaschen.

7,5 Mio. $ aus KiloEX-Perps auf Base, opBNB und BSC abgezogen: MinimalForwarder übersprang Signatur-Checks; Positionen bei 100 $ auf, bei 10.000 $ geschlossen.

~73 Mio. $ aus Phemex-Hot-Wallets über 16 Blockchains in koordiniertem Sweep abgezogen — erster großer Börsen-Hack 2025, TTPs konsistent mit Lazarus.

53 Mio. $ aus einem 3-von-11-Radiant-Multi-Sig abgezogen, nachdem macOS-Malware drei Signierer traf; Safe-UI zeigte saubere Txs, Wallets signierten Upgrades.

DPRK-artige Multi-Chain-Kompromittierung entzog 52 Mio. USD aus BingX-Hot-Wallets auf Ethereum, BNB Chain, Avalanche, Optimism und Polygon.

Rund 20 Mio. $ aus Indonesiens größter Kryptobörse über mehrere Chains gefegt in einer koordinierten Hot-Wallet-Kompromittierung der 2024er Breach-Serie.

Rund 220.000 $ aus HYPR Network abgezogen, nachdem ein Bridge-/Contract-Fehler einem Angreifer den Abzug gebridgter Liquidität erlaubte.

Lazarus entzog 54 Mio. USD aus CoinEx-Hot-Wallets über Ethereum, Tron, BSC und sieben weitere Chains, mit Infrastruktur des Stake.com-Hits der Vorwoche.

Stake.com verlor 41 Mio. $ aus Hot Wallets auf Ethereum, BSC und Polygon in 90 Minuten; das FBI schrieb den Heist Lazarus zu und listete 40 Adressen auf.

Eine versteckte Deployer-only withdrawFunds-Funktion im Staking-Contract von DeFiLabs zog 1,6 Mio. $ Nutzergelder ab, bevor das Projekt verschwand.

125 Mio. $ aus Multichain-Bridge-Verträgen abgezogen, einen Monat nach Verhaftung von CEO Zhaojun; Team verlor MPC-Schlüsselzugang, Inside Job vermutet.

Ein still beschlossener Governance-Vorschlag auf BNB Chain gewährte Angreifern Token-Approval über jedes Atlantis-Loans-Wallet – 2,5 Mio. USD entzogen.

Lazarus-Operation zielte auf Atomic Wallets Software statt einzelne Seeds, entzog 100 Mio.+ USD von rund 5.500 Nutzern und umging Self-Custody-Garantien.

DEUS DAOs dritter Vorfall zog 6,5 Mio. $ über BNB, Arbitrum und Ethereum durch einen Fehler in DEIs burnFrom-/Approval-Logik ab.

Level Finance auf BNB Chain verlor 1,1 Mio. $: LevelReferralControllerV2 zahlte Referral-Rewards aus, ohne die Epoch als geclaimt zu markieren — wiederholbar.

SafeMoon verlor 8,9 Mio. $ aus seinem WBNB-Pool, als ein Upgrade burn() öffentlich ließ. Pool-LP-Burning pumpte SFM, dann WBNB-Drain.

3 Mio. $ aus Orion auf Ethereum und BSC abgezogen, nachdem doSwapThroughOrionPool unvalidierte Pfade ohne Reentrancy-Schutz akzeptierte; Fake-Token nutzte das.

Gestohlener Ankr-Entwicklerschlüssel ließ 60 Bio. aBNBc prägen; Helio nahm sie als Sicherheit für 16 Mio. USD HAY. Binance fror 3 Mio. USD ein.

Fehlerhafte Merkle-Beweis-Verifikation in BSCs nativer Bridge ließ den Angreifer Abhebungen für 2M BNB fälschen, bevor Validatoren die Chain pausierten.

Transit-Swap-Nutzer mit unbegrenzten Approvals verloren 21 Mio. $: claimTokens validierte das Ziel-Token nicht. 70 % nach Verhandlungen zurück.

Gym Network auf BNB Chain verlor 2,1 Mio. $: Eine Deposit-Funktion akzeptierte eine Referrer-Signatur ohne Validierung und ließ riesige GYMNET-Rewards minten.

Fortress Protocol auf BNB Chain verlor 3 Mio. $: Angreifer manipulierte FTS via dünnes Orakel und nutzte Governance für beliebige Collateral-Faktoren.

DEUS DAO verlor 13,4 Mio. $, nachdem DEI-Collateral aus einem Solidly DEI/USDC-Pool gepreist wurde, den ein Flash-Loan-Angreifer manipulierte.

~1,7 Mio. $ aus Paraluni auf BNB Chain abgezogen, nachdem die Einzahlung einen unvalidierten Token ohne Reentrancy-Schutz akzeptierte; Fake-Token nutzte das.

Eine Private-Key-Kompromittierung zog 10 Mio. $ aus Dego Finance auf Ethereum und BNB Chain ab und fegte Pools sowie Wallets mit aktiven Token-Approvals leer.

Meter Passport Bridge verlor 4,4 Mio. $, als ihr Deposit-Handler einer Wrapped-Token-Summe vertraute, die ohne Deckung gesetzt werden konnte.

Ein Angreifer täuschte Qubits BSC-Bridge dazu, 77.162 qXETH (nominell 185 Mio. $) ohne ETH-Einzahlung zu minten und 206.809 BNB (80 Mio. $) zu leihen.

Rug Pull entzog 8ight Finance rund 1,75 Mio. USD: Betreiber leerten Einlagen mittels privilegierter Vertragsrechte und löschten dann ihre gesamte Präsenz.

Angreifer entzog 77,7 Mio. USD an 78 ERC-20-Tokens aus AscendEX-Hot-Wallets auf Ethereum, BSC und Polygon, verbunden mit einer Hardware-Schwachstelle.

Eine einzige Private-Key-Kompromittierung entzog 196 Mio. USD aus zwei Bitmart-Hot-Wallets auf Ethereum und BNB Chain; CEO entschädigte aus Reserven.

Phishing-E-Mail mit Word-Macro auf einem Dev-Rechner ließ Lazarus-verbundene Angreifer 55 Mio. USD aus bZxs Polygon/BSC-Deployments entziehen.

Eine Admin-Key-Kompromittierung ließ den Angreifer 139 Mio. USD an gepoolter DEX-Liquidität von BXH auf BSC abheben – einer der größten Verluste 2021.

Bug im Cross-Chain-Manager-Vertrag erlaubte Angreifer, den Keeper-Public-Key auszutauschen und 611 Mio. $ von drei Chains abzuziehen — voll zurückgegeben.

13 Mio. $+ aus THORChain in zwei Angriffen binnen einer Woche abgezogen — beide nutzten Fake-Deposit-Lücken in der Bifrost-Ethereum-Bridge im Chaosnet aus.

Schwachstelle in ChainSwaps Ethereum-BSC-Bridge ließ Angreifer beliebige Mengen von 20+ Tokens prägen; 4 Mio. USD entzogen, Tokens stürzten 95%+ ab.

Angreifer entdeckte wiederholten k-Wert in zwei BSC-Signaturen, errechnete den MPC-Key von Anyswap V3 zurück und entzog 7,9 Mio. USD aus Router-Pools.

Ein Fehler im emergencyBurn-/Withdraw-Pfad des nerveBUSD-Vaults von Eleven Finance erlaubte Withdraws ohne Share-Burn und zog rund 4,5 Mio. $ auf BNB Chain ab.

Rund 3,7 Mio. $ aus Impossible Finance auf BNB Chain abgezogen via einen Swap-Router-Fehler, der wiederholtes Swappen gegen stale Reserven in einer Tx erlaubte.

Wault Finance auf BNB Chain verlor ~1 Mio. $: Flash-Loan-Manipulation der WUSD/WEX-Bepreisung erlaubte Mint und Redeem zu verzerrten Raten und Reserven-Drain.

385 Mio. USD Flash-Loans manipulierten eine Belt-Finance-beltBUSD-Strategie und verzerrten die Share-Price-Berechnung – 6,23 Mio. USD aus 50 Mio. entzogen.

BurgerSwap auf BNB Chain validierte Swap-Path-Tokens nicht; der Callback eines Fake-Tokens re-entrierte den Pool mid-Swap und entzog 7,2 Mio. USD.

Mehrere Exploits 2021 (~680.000 $+) bei Merlin Labs auf BNB Chain — die Strategie-Preise des Yield-Optimierers wurden per Flash-Kredit wiederholt manipuliert.

Eine Flash-Loan-SHARK/BNB-Preismanipulation blähte AutoSharks Mint auf und entzog ~745K USD auf BSC – ein fast exaktes Replay des PancakeBunny-Musters.

45 Mio. $ aus PancakeBunny entwendet, als ein Flash-Kredit über 704 Mio. $ das BUNNY/BNB-Orakel manipulierte und ~7 Mio. BUNNY aus dem Nichts mintete.

Spartan Protocol verlor 30 Mio. $ auf BSC durch eine fehlerhafte Liquiditäts-Share-Berechnung — der erste große Flash-Loan-Angriff auf BSC.

57,2 Mio. $ aus Uranium Finance extrahiert: Eine falsch platzierte Konstante in v2.1 (1.000.000 statt 10.000) ließ 1 Wei für 98 % der Pools tauschen.

Ein Flash Loan manipulierte TRUNK/BUSD- und ELEPHANT-Preise in Elephant Moneys BNB-Chain-Mint/Redeem und erlaubte rund 22 Mio. $ Extraktion.

DODOs V2-Crowdpools verloren 3,8 Mio. $, nachdem der Angreifer init() mit einem Fake-Token erneut aufrief; die Pools hatten keinen Re-Init-Guard.

Flash-Loan-Manipulation des gToken-/stkToken-Pricings in Growth DeFis Yield-Strategie ließ einen Angreifer rund 1,3 Mio. $ Reserven extrahieren.