Ethereum — Hacks & Exploits

Wasabi Protocols Perp-Vaults auf 4 Chains verloren 5 Mio. $: Kompromittiertes Deployer-EOA mit alleiniger ADMIN_ROLE erlaubte UUPS-Upgrades.

292 Mio. $ ungedecktes rsETH gemintet, nachdem Angreifer KelpDAOs 1-of-1-LayerZero-DVN-Setup ausnutzten; der größte DeFi-Hack 2026, TVL fiel danach 13 Mrd. $.

1 Mrd. gebridgte DOT auf Hyperbridge gemintet, nachdem ein fehlender Bounds-Check in VerifyProof MMR-Proof-Fälschung erlaubte; realer Verlust ~2,5 Mio. $.

Resolv Labs verlor 25 Mio. $, nachdem Angreifer seine AWS-KMS-Schlüssel kompromittierten; 100.000 $ USDC mintete 50 Mio. USR und depeggte 74 % in 17 Minuten.

Solv Protocols BRO-Vault verlor 2,73 Mio. $: Ein ERC-3525-Double-Mint-Bug verwandelte 135 BRO in ~567M BRO in 22 Einzahlungen, getauscht in 38 SolvBTC.

4,3 Mio. $ aus IoTeX' ioTube-Bridge per Validator-Key-Kompromittierung abgezogen; Angreifer mintete auch 111M CIOTX und 9,3M CCS. Voll-Entschädigung zugesagt.

4,13 Mio. $ aus Makinas DUSD/USDC-Curve-Pool durch Flash-Kredit-Orakel-Manipulation gegen MachineShareOracle abgezogen; 89 % in einer Woche zurückgeholt.

SagaEVM verlor 7 Mio. $ in 11 Minuten — ein Ethermint-Bug ließ gestaltete Nachrichten die Validierung umgehen und Saga Dollar (D) ohne Deckung minten.

Truebit verlor 26,4 Mio. $: Ein Integer-Overflow in TRUs 5 Jahre alter Bonding Curve ließ Angreifer TRU fast gratis prägen und für 8.500 ETH verkaufen.

Oracle-Upgrade erzeugte 18-vs-8-Dezimal-Diskrepanz in Aevos alten Ribbon-DOV-Vaults; 2,7 Mio. USD wurden entwendet. Aevo schloss die Vaults.

USPD, ein neuerer dezentraler Stablecoin, verlor ~1 Mio. $ durch einen Mint-Fehler, der Minting gegen unzureichende Deckung erlaubte und kurz depegte.

Yearns yETH-Pool mintete 235 Septillionen yETH aus 16 Wei Einzahlung: Liquiditätsentnahme setzte Supply auf null, cached Balances blieben.

Wahrscheinlicher Private-Key-Diebstahl gab Angreifern Kontrolle über GANA Payments BSC-Contract; sie manipulierten Reward-Raten und zogen 3,1 Mio. $ ab.

Access-Control-Lücke und Rundungsfehler in Balancer v2s Invariant-Logik entzogen ~120 Mio. USD aus Stable Pools – der größte DeFi-Exploit von 2025.

SBI Crypto, der Mining-Arm von SBI Holdings, verlor 24 Mio. $ in BTC, ETH, LTC, DOGE und BCH. Erst nach 7 Tagen entdeckte ZachXBT ein Lazarus-Muster.

GriffinAI, ein AI-Agent-Krypto-Projekt, verlor rund 3 Mio. $ durch einen Bridge-/Mint-Fehler, der ungedecktes GAIN minten ließ — Preis kollabierte.

UXLINK, ein Web3-Social-Protokoll, verlor rund 41 Mio. $ nach Kompromittierung der Multi-Sig-Keys und Ausnutzung eines uneingeschränkten delegatecall-Pfads.

Rundungsfehler in Bunni DEXs Withdraw-Funktion entzog 8,4 Mio. USD auf Ethereum und Unichain, nachdem Devs Idle-Balance-Bewegungen falsch einschätzten.

Eine Hot-Wallet-Kompromittierung über 7 Chains entzog BtcTurk 48 Mio. USD, ihr zweiter großer Hack in 14 Monaten. Cold Storage blieb unangetastet.

Angreifer entzogen 44 Mio. USD aus CoinDCXs internem Liquiditätskonto für Partner-Börsenreserven; die Börse absorbierte den Verlust aus dem Treasury.

Angreifer kompromittierten BigONEs Backend und schrieben die Risk-Control-Logik um, sodass jede Abhebung automatisch genehmigt wurde – 27 Mio. USD entzogen.

9,8 Mio. $ aus Resupply in unter 90 Minuten abgezogen, als ein Flash-Kredit über 4.000 $ einen 2 Stunden alten wstUSR-Vault per ERC-4626-Donation ausnutzte.

Über 90 Mio. $ von Irans größter Börse durch Predatory Sparrow entwendet, dann an Anti-IRGC-Adressen verbrannt — Zerstörungs- statt Profit-Hack.

Access-Control-Fehler zog 3,76 Mio. $ aus Nervos' Force Bridge auf Ethereum und BNB Chain ab; die Beute wurde über Tornado Cash und FixedFloat gewaschen.

Angreifer entzog Cork Protocol 12 Mio. USD (3.761 wstETH), indem er einen Markt mit fremder DS schuf und Auth über einen bösartigen Uniswap-v4-Hook umging.

Overflow-Guard-Fehler in Suis größter DEX ließ winzige Liquiditätsposition als gigantisch lesen, 223 Mio. USD entzogen, bevor Validatoren eingriffen.

Zunami Protocol verlor ~500 Tsd. $ in zweitem Vorfall, 2 Jahre nach 2023er Curve-Pool-Exploit, wieder aus manipulierbarer Preis-Ableitung in der Stablecoin-Strategie.

UPCX verlor rund 70 Mio. $ aus seiner Treasury, nachdem ein kompromittierter Admin-Account auf der Open-Source-Payments-Plattform ein bösartiges Upgrade pushte.

355 Tsd. $ (gesamte TVL) aus SIR.trading abgezogen durch Transient-Storage-Missbrauch, der die uniswapV3SwapCallback-Aufruferprüfung fälschte.

8,4 Mio. $ aus Zoth, einem RWA-Restaking-Protokoll, abgezogen: Deployer-Key kompromittiert und bösartiges Proxy-Upgrade gepusht.

Ein Bug im alten Fusion-v1-Resolver erlaubte Calldata-Manipulation und führte zum Diebstahl von 5 Mio. USD aus 1inch Resolver TrustedVolumes.

49,5 Mio. $ aus Infinis Morpho-MEVCapital-USDC-Vault abgezogen — von der Adresse, die den Contract baute und still Admin-Autorität nach dem Launch behielt.

Bösartiges JavaScript in Safe{Wallet}s UI entzog 401.000 ETH (1,46 Mrd. USD) aus Bybit Cold-Wallet-Transfer – der größte Krypto-Diebstahl je.

~73 Mio. $ aus Phemex-Hot-Wallets über 16 Blockchains in koordiniertem Sweep abgezogen — erster großer Börsen-Hack 2025, TTPs konsistent mit Lazarus.

The Idols NFT verlor ~324 Tsd. $, als ein Fehler in der Staking-Belohnungsbuchhaltung wiederholte gewichtete Claims weit über Anspruch hinaus erlaubte.

13,7 Mio. $ aus M2-Exchange-Hot-Wallets (UAE) über BTC, ETH und Solana abgezogen; identifiziert, eingedämmt und Kundengelder in nur 16 Minuten erstattet.

Tapioca DAO verlor 4,65 Mio. $: Discord-Mitglied wurde überredet, Hardware-Wallet zu verbinden. Angreifer übernahm TAP/USDO. 2,7 Mio. $ zurück.

DPRK-artige Multi-Chain-Kompromittierung entzog 52 Mio. USD aus BingX-Hot-Wallets auf Ethereum, BNB Chain, Avalanche, Optimism und Polygon.

Telegram-Message-Oracle-Fehler ließ Angreifer 3 Mio. USD von 11 Banana-Gun-Nutzern über manuelle Transfers entziehen. Team entschädigte aus Treasury.

Rund 20 Mio. $ aus Indonesiens größter Kryptobörse über mehrere Chains gefegt in einer koordinierten Hot-Wallet-Kompromittierung der 2024er Breach-Serie.

~27 Mio. $ aus Penpie abgezogen, nachdem eine Reentrancy-Lücke in Pendles Plugin-Integration einen bösartigen Markt und Reward-Abzug in einer Tx ermöglichte.

Ein Krypto-Wal verlor 55,47 Mio. $ DAI nach Signatur einer Transaktion auf einer Phishing-Kopie der DeFi-Saver-Seite via Inferno Drainer.

Ein White-Hat-MEV-Bot zog 12 Mio. $ aus Ronins Bridge durch einen Dead-Code-Init-Fehler ab. Alles für 500.000 $ Belohnung zurückgegeben.

WazirX verlor 234,9 Mio. $ aus einer 4-of-6 Gnosis Safe bei Liminal: Angreifer nutzten Diskrepanz zwischen Liminal-UI und signierter Calldata aus.

11,6 Mio. $ aus Nutzern mit Infinite Approvals an LI.FI abgezogen: Eine frisch deployte Facet übersprang Validierung und ließ beliebige Aufrufe zu.

~55 Mio. USD aus BtcTurks Hot Wallets entzogen, Binance fror etwa 5,3 Mio. USD ein – größter Türkei-Börsen-Bruch bisher.

Ein Fehler in Holographs Operator-Contract ließ einen Angreifer 1 Milliarde HLG-Tokens minten, nominal 14,4 Mio. $ wert. HLG fiel in neun Stunden um 80 %.

UwULend verlor 19,4 Mio. $: Angreifer manipulierte 5 von 11 sUSDe-Orakeln via Curve-Swaps, borgte bei 0,99 $ und liquidierte bei 1,03 $. 3,7-Mio.-$-Folge-Hit.

22 Mio. $ (158 BTC, 2.161 ETH, plus LTC/BCH) aus Lykke abgezogen durch Private-Key-Kompromiss, den die UK-Börse vertuschen wollte; Lazarus zugeschrieben.

Angreifer übernahm dormante MINTER-Rolle, mintete 5 Mrd. GALA (216 Mio. $) und verkaufte 21,8 Mio. $, bevor er geblacklistet wurde; 4,4 Mrd. blieben gesperrt.

1,9 Mio. $ aus Pike Finance abgezogen, nachdem nicht initialisierte Proxy-Verträge einem Angreifer Ownership-Übernahme und CCIP-Asset-Abzug erlaubten.

ZKasino nahm 10.515 ETH (33 Mio. $) von 8.000+ Nutzern auf 1:1-Versprechen, konvertierte zu ZKAS, stakte 15 Monate auf Lido. Gründer verhaftet.

Hedgey-Finance-Vesting verlor 44,7 Mio. $: Fehlende Parameter-Validierung ließ den Angreifer Kampagnen mit beliebigen Transfer-Approvals im Callback bauen.

11 Mio. $ aus Prismas Trove-Migrations-Helper abgezogen, nachdem der Angreifer migrate() umging und flashloan() direkt aufrief; forderte Entschuldigung.

Angreifer kaufte einen nominalen CGT-Anteil, nutzte einen MakerDAO-Fork-Fehler aus, um Stimmrecht zu verstärken, und prägte 1 Mrd. CGT (~16 Mio. USD).

2,1 Mio. $ aus Unizens DEX-Aggregator abgezogen über eine unsichere External-Call-Schwachstelle in einem jüngsten Upgrade, das Nutzer mit Token-Approvals traf.

6,4 Mio. $ aus Seneca-Nutzern abgezogen über unbegrenzte Approvals an den Chamber-Vertrag ohne Pause-Funktion. Angreifer gab 80 % gegen 20 % Bounty zurück.

Gestohlener Admin-Schlüssel erlaubte Selbst-Hinzufügung als Minter und 1,79 Mrd. PLA — nominell 290 Mio. $, nur 32 Mio. ausgezahlt.

Ein Rundungsfehler in der Schuldverwaltung von Abracadabra Moneys Cauldron erlaubte 6,5 Mio. USD Diebstahl durch Tilgung fremder Schulden.

3,3 Mio. $ aus Socket/Bungee-Nutzern abgezogen über eine unvalidierte SocketGateway-Route, die transferFrom auf Wallets mit unbegrenzten Approvals aufrief.

~82 Mio. $ aus Orbit Chains Cross-Chain-Bridge an Silvester abgezogen, nachdem sieben von zehn Multi-Sig-Signierern kompromittiert wurden.

Rund 220.000 $ aus HYPR Network abgezogen, nachdem ein Bridge-/Contract-Fehler einem Angreifer den Abzug gebridgter Liquidität erlaubte.

OKX-DEX-Aggregator-Nutzer verloren 2,7 Mio. $, nachdem ein veralteter Proxy-Admin-Schlüssel den Vertrag auf eine bösartige Version upgradete.

Eine Single-Operator-Kompromittierung zog 87 Mio. $ aus HECOs Cross-Chain-Bridge plus 12 Mio. $ aus HTX-Hot-Wallets — beide Justin-Sun-Plattformen, 24 Stunden.

54,7 Mio. $ aus KyberSwap Elastic abgezogen, nachdem ein Rundungsfehler in Concentrated-Liquidity-Math Pools doppelte Liquidität erkennen ließ.

26 Mio. $ aus Taipei-Market-Maker Kronos Research abgezogen, nachdem API-Keys für programmatische Withdrawals gestohlen wurden; WOO stoppte Handel.

114 Mio. $+ aus Poloniex' Ethereum- und Tron-Hot-Wallets abgezogen, nachdem Schlüssel aus internen Systemen extrahiert wurden; Justin Sun versprach Erstattung.

3,3 Mio. $ R-Stablecoin durch Rundungs-/Share-Mint-Bug in Rafts Sicherheitenlogik gemintet, aber der Angreifer verbrannte ~1.570 ETH beim Cash-Out. R depeggte.

640 Tsd. $ aus Unibot-Nutzern abgezogen über einen Token-Approval-Bug im neuen Router des Telegram-Trading-Bots. Unibot erstattete betroffenen Nutzern voll.

200 Mio. $ aus Mixin-Network-Hot-Wallets abgezogen, nachdem Angreifer den Cloud-Anbieter kompromittierten, der Mixins zentralisierte Datenbank hostete.

2,7 Mio. $ aus Hot Wallets der P2P-Börse Remitano in USDT, ANK, USDC und ETH durch Private-Key-Kompromiss abgezogen; TTPs konsistent mit Lazarus.

Lazarus entzog 54 Mio. USD aus CoinEx-Hot-Wallets über Ethereum, Tron, BSC und sieben weitere Chains, mit Infrastruktur des Stake.com-Hits der Vorwoche.

Stake.com verlor 41 Mio. $ aus Hot Wallets auf Ethereum, BSC und Polygon in 90 Minuten; das FBI schrieb den Heist Lazarus zu und listete 40 Adressen auf.

Angreifer nutzte Rate-Provider-Read-Only-Reentrancy in Balancer Boosted Pools nach Offenlegung und entzog ~2,1 Mio. USD vor vollständigem LP-Exit.

~1,3 Mio. $ aus dem aufgegebenen Swerve Finance gefährdet: Ein Angreifer nutzte schwache Governance, um einen Vorschlag zur Mittel-Beschlagnahme durchzusetzen.

Beim Start der Shibarium-Bridge waren ~2,6 Mio. $ ETH durch einen falsch konfigurierten Vertrag und Traffic-Überlastung blockiert oder unzugänglich.

2,1 Mio. $ aus Zunami Protocol abgezogen: zETH- und UZD-Preise aus manipulierbaren Curve-Pools wurden von einem Flash-Loan-Angreifer aufgebläht.

Ein fehlerhaftes Reentrancy-Lock in drei Versionen des Vyper-Compilers machte mehrere Curve-Stablepools anfällig für eine klassische Reentrancy-Attacke.

Private-Key-Kompromittierung entzog AlphaPos Hot Wallets auf Tron, Bitcoin und Ethereum 60 Mio. USD. FBI schrieb den Payment-Processor-Bruch Lazarus zu.

Conic Finances ETH-Omnipool hatte Reentrancy-Guards, nahm aber eine Curve-v2-ETH-Adresse an. Ein neues CurveLPOracleV2 entging ihm – 3,2 Mio. USD entzogen.

125 Mio. $ aus Multichain-Bridge-Verträgen abgezogen, einen Monat nach Verhaftung von CEO Zhaojun; Team verlor MPC-Schlüsselzugang, Inside Job vermutet.

800 Tsd. $ aus Sturdy Finance via Balancer-Read-Only-Reentrancy abgezogen, die B-stETH-STABLE-LP-Sicherheit falsch bepreiste. Mittel zurückgegeben.

Lazarus-Operation zielte auf Atomic Wallets Software statt einzelne Seeds, entzog 100 Mio.+ USD von rund 5.500 Nutzern und umging Self-Custody-Garantien.

Tornado Cash DAO wurde gekapert: Angreifer selfdestructte einen Vorschlag und redeployte Schadcode an derselben Adresse — 1,2M Stimmen vs ~70K legitime.

DEUS DAOs dritter Vorfall zog 6,5 Mio. $ über BNB, Arbitrum und Ethereum durch einen Fehler in DEIs burnFrom-/Approval-Logik ab.

Eine Signing-Key-Kompromittierung entzog Bitrues Hot Wallet 23 Mio. USD an ETH, QNT, GALA, SHIB, HOT, MATIC – unter 5% der Börsensalden, vor jedem Stopp.

Ein fehlkonfigurierter Legacy-Yearn-iEarn-Vertrag mit falschem Fulcrum-Token mintete 1,2Q yUSDT und entzog 11 Mio. $ aus Aave v1, bevor jemand es bemerkte.

Fehlende Zugriffsprüfung in Sushis RouteProcessor2-Router ließ Bots 3,3 Mio. $ WETH aus Wallets mit Token-Approvals vor einer Whitehat-Rettung abziehen.

Ein fehlender Health-Check in Eulers donateToReserves-Funktion ließ einen Angreifer eine selbstliquidierbare Position aufbauen und 197 Mio. $ erbeuten.

Dexible-Nutzer verloren 2 Mio. $, nachdem selfSwap mit nutzerseitigen Daten beliebige externe Aufrufe machte und Wallets mit Approvals abzog.

3 Mio. $ aus Orion auf Ethereum und BSC abgezogen, nachdem doSwapThroughOrionPool unvalidierte Pfade ohne Reentrancy-Schutz akzeptierte; Fake-Token nutzte das.

Ein Breach von LastPass-Vault-Backups führte zu mehrjährigem Drain bei Nutzern, die Seeds dort speicherten; Verluste wuchsen auf über 400 Mio. $.

Eine SIM-Swap-Operation zog 477 Mio. $ aus FTX-Wallets binnen Stunden nach dem Chapter-11-Antrag — im Chaos des größten Krypto-Kollapses seit Mt. Gox.

Angreifer zogen 28 Mio. $ aus Deribits BTC-/ETH-/USDC-Hot-Wallets ab; die Optionsbörse deckte den Schaden aus eigener Bilanz, Cold Storage blieb intakt.

Team Finance verlor 15,8 Mio. $ bei Uniswap v2→v3-Migration: Gesperrte Tokens in verzerrtes v3-Paar verschoben, als 'Rest' für 2.700 $ Gas erstattet.

2,3 Mio. $ aus TempleDAOs StaxLPStaking abgezogen, nachdem migrateStake() den Aufrufer nicht validierte und jedem die Migration fremder Positionen erlaubte.

Transit-Swap-Nutzer mit unbegrenzten Approvals verloren 21 Mio. $: claimTokens validierte das Ziel-Token nicht. 70 % nach Verhandlungen zurück.

Wintermute verlor 160 Mio. $ aus einer Hot Wallet mit Profanity-Vanity-Adresse: Ein 32-Bit-PRNG-Seed ließ jeden Key brute-forcen. Sie wussten es.

Angreifer hijackten curve.fis DNS via Domain-Registrar, lieferten Wallet-Drainer-Frontend, stahlen ~575K USD von Nutzern – Verträge blieben unangetastet.

Ein routinemäßiges Upgrade markierte den Zero-Hash als gültigen Root, was jede Nomad-Nachricht zu einer kopierbaren Abhebung machte.

Angreifer nutzte einen Audius-Initializer-Bug, delegierte sich 10 Bio. AUDIO und verabschiedete einen Vorschlag, der 6 Mio. USD aus dem Treasury entzog.

Lazarus kompromittierte zwei von fünf Operator-Multi-Sig-Keys an Harmonys Cross-Chain-Bridge und zog 100 Mio. $ ab; das 2-von-5-Quorum war zu niedrig.

Reentrancy auf exitMarket() zog 80 Mio. $ aus Rari Capitals Fuse-Lending-Pools — eine Funktion, die das Team beim Patch des Vormonats zu schützen vergaß.

Saddles sUSDv2-Metapool verlor 11,9 Mio. $, als ein bekannter MetaSwapUtils-Bug versehentlich neu deployt wurde; BlockSec-Bots retteten 3,97 Mio. $ vor.

Ein 1 Mrd. USD Flash-Loan kaufte in einem Block 67% der Beanstalk-Governance und entzog das Treasury. Angreifergewinn: 76 Mio. von 182 Mio. USD Verlust.

15,6 Mio. $ aus Inverse Finance abgezogen durch Manipulation des Keep3r INV/ETH-Orakels via privatem Mempool-Bundle — TWAP in einem unsichtbaren Block umgangen.

2 Mio. $ aus Revest Finance durch eine Reentrancy in depositAdditionalToFNFT abgezogen — Angreifer mintete überbewertete NFTs und löste sie ein.

Validator-Private-Key-Kompromiss zog 173.600 ETH und 25,5 Mio. USDC aus der Ronin-Bridge ab — der größte Krypto-Hack zu dieser Zeit.

Eine Private-Key-Kompromittierung zog 10 Mio. $ aus Dego Finance auf Ethereum und BNB Chain ab und fegte Pools sowie Wallets mit aktiven Token-Approvals leer.

Eine Signaturverifikations-Umgehung auf Wormholes Solana-Seite ließ den Angreifer 120.000 wETH aus dem Nichts prägen — gedeckt durch null Ethereum-Sicherheit.

Ein Angreifer täuschte Qubits BSC-Bridge dazu, 77.162 qXETH (nominell 185 Mio. $) ohne ETH-Einzahlung zu minten und 206.809 BNB (80 Mio. $) zu leihen.

2FA-Bypass-Exploit entzog 34 Mio. USD aus 483 Crypto.com-Konten; Angreifer autorisierten Transaktionen, ohne dass der zweite Faktor je den Nutzer abfragte.

Ein Fehler in Bent Finances Reward-Verteilungs-Buchhaltung ließ eine Adresse ~1,7 Mio. USD an Belohnungen weit über ihre Berechtigung beanspruchen.

Visor Finances Staking-Vertrag verlor 8,2 Mio. $ durch Reentrancy im delegateTransferERC20-Pfad. VISR fiel um 95 %; Visor migrierte zu neuem Token.

148 Vulcan-Forged-Nutzer-Wallets verloren 4,5M PYR (140 Mio. $) nach Kompromittierung von Venly. Vollständige Erstattung aus der Treasury.

Angreifer entzog 77,7 Mio. USD an 78 ERC-20-Tokens aus AscendEX-Hot-Wallets auf Ethereum, BSC und Polygon, verbunden mit einer Hardware-Schwachstelle.

Eine einzige Private-Key-Kompromittierung entzog 196 Mio. USD aus zwei Bitmart-Hot-Wallets auf Ethereum und BNB Chain; CEO entschädigte aus Reserven.

Kompromittierter Cloudflare-API-Key ließ Angreifer zwei Wochen lang bösartige Approvals in BadgerDAOs Frontend einschleusen – 120 Mio. USD entzogen.

31 Mio. $ aus MonoX' Single-Token-Pools abgezogen, nachdem der Angreifer einen Token mit sich selbst tauschte und MONO im Orakel des Protokolls aufpumpte.

Flash-Loan-Preismanipulation von yUSD ließ Angreifer gegen 1 Mrd. USD Fake-Sicherheit borgen und 130 Mio. USD aus Cream entziehen – dritter Exploit 2021.

16 Mio. $ aus DEFI5- und CC10-Index-Pools per Flash-Loan-Exploit der Rebalancing-Mathematik abgezogen; der jugendliche Angreifer berief sich auf code-is-law.

Bug in Compounds Proposal-62-Upgrade zahlte bis zu 147 Mio. USD an ungewollten COMP-Rewards aus. Meist freiwillig zurückgegeben, ein Teil behalten.

JayPegs Automart, ein Ethereum-NFT-Schema für automatisiertes Trading während der NFT-Manie 2021, exit-scammte Nutzer um rund 3,1 Mio. $ und verschwand.

Eine ungeschützte init()-Funktion in DAO Makers Vesting-Contracts ließ einen Angreifer die Eigentümerschaft übernehmen und 4 Mio. $ aus Nutzer-Pools abziehen.

18,8 Mio. USD aus Cream-v1-Lending via Reentrancy-Bug im ERC-777-Transfer-Hook des AMP-Tokens entzogen – zweiter von Creams drei 2021er Exploits.

Rund 97 Mio. $ aus Liquid Globals Warm Wallets in ETH, XRP, BTC und Stablecoins gefegt; FTX gewährte 120-Mio.-$-Notkredit und übernahm die Börse später.

Bug im Cross-Chain-Manager-Vertrag erlaubte Angreifer, den Keeper-Public-Key auszutauschen und 611 Mio. $ von drei Chains abzuziehen — voll zurückgegeben.

9 Mio. $ aus Punk Protocol Minuten nach Start abgezogen via delegatecall auf Initialize, das Angreifer als Forge setzte; 5 Mio. von White-Hats gerettet.

20,7 Mio. $ aus Popsicles Sorbetto-Fragola-Pool abgezogen, nachdem Flash-Kredite plus Anteilstransfers den Vertrag täuschten, TVL-Belohnung zu schulden.

13 Mio. $+ aus THORChain in zwei Angriffen binnen einer Woche abgezogen — beide nutzten Fake-Deposit-Lücken in der Bifrost-Ethereum-Bridge im Chaosnet aus.

Kompromittierter Deployer-Key ließ Angreifer ~373M BONDLY (~5,9 Mio. USD) prägen und in Liquidität dumpen; Bondly migrierte später Verträge.

Schwachstelle in ChainSwaps Ethereum-BSC-Bridge ließ Angreifer beliebige Mengen von 20+ Tokens prägen; 4 Mio. USD entzogen, Tokens stürzten 95%+ ab.

Angreifer entdeckte wiederholten k-Wert in zwei BSC-Signaturen, errechnete den MPC-Key von Anyswap V3 zurück und entzog 7,9 Mio. USD aus Router-Pools.

Ein Deploy-Skript-Bug erzeugte Phantom-Vaults und lenkte 6,5 Mio. USD Belohnungen um, sodass Nutzerschulden getilgt wurden. Mint in 15 Minuten gestoppt.

xToken verlor 24 Mio. $: xSNXa und xBNTa wurden aus manipulierbaren Pools bepreist; ein Flash Loan ließ Angreifer Strategie-Tokens billig minten und einlösen.

2.600 ETH (10 Mio. $, 60 % des Pools) aus Raris Ethereum-Pool abgezogen, nachdem die Alpha-Finance-ibETH-Integration externe Aufrufe und Reentrancy erlaubte.

Angreifer kompromittierten den Rechner des CEO, zogen Keys aus seiner MetaMask-Admin-Wallet und mintete EASY, drainte über 80 Mio. $ aus Polygon-Pools.

5,7 Mio. $ aus Rolls Hot Wallet abgezogen, was Dutzende unabhängiger 'Social Money'-Creator-Tokens durch einen Private-Key-Kompromiss kollabierte.

DODOs V2-Crowdpools verloren 3,8 Mio. $, nachdem der Angreifer init() mit einem Fake-Token erneut aufrief; die Pools hatten keinen Re-Init-Guard.

PAID Network hatte 27 Mio. $+ geminted nach kompromittiertem Deployer-Schlüssel; Angreifer dumpte ~2,5 Mio. für 3 Mio. $ vor Pause. PAID fiel ~85 %.

Furucombo-Nutzer verloren 14 Mio. $, nachdem der Angreifer den Proxy zu einem Delegatecall auf eine bösartige Aave-v2-Pseudo-Implementierung verleitete.

Flash-Loan-Manipulation des gToken-/stkToken-Pricings in Growth DeFis Yield-Strategie ließ einen Angreifer rund 1,3 Mio. $ Reserven extrahieren.

Ein Custom-Spell-Vertrag nutzte einen Borrow-Share-Rundungsbug, um null Anteile gegen reale cySUSD-Schulden zu akkumulieren – 37,5 Mio. USD entzogen.

Yearns yDAI-Vault verlor 11 Mio. $ (Angreifer netto 2,8 Mio. $): Eine 11-Tx-Flash-Loan-Sequenz verzerrte Curve-3pool-DAI-Preise. Tether fror 1,7 Mio. $ ein.

Saddle Finance verlor ~276.000 $ innerhalb einer Stunde nach Launch, als ein fehlerhafter Stableswap Arbitrageuren falsch bepreiste Kurse erlaubte.

Ein Solidity-Storage/Memory-Bug in Covers Blacksmith-Vertrag prägte 40 Trillionen COVER; Preis fiel von 700 USD auf unter 5. White-Hat gab alle Mittel zurück.

Warp Finance verlor 7,8 Mio. $: Bewertung der Uniswap-LP-Token-Sicherheit aus manipulierbaren Spot-Reserven, ein Flash Loan blähte den LP-Wert auf.

Compounder-Finance-Team pushte ein bösartiges Strategie-Vertrags-Upgrade, das Pool-Logik gegen eine Drain-Funktion tauschte – 12 Mio. USD Einlagen rugged.

Compound liquidierte 89 Mio. USD an Positionen, nachdem DAI kurz für 1,30 USD auf Coinbase Pro handelte – der einzigen Oracle-Quelle. Kein Hack.

19,76 Mio. DAI aus Pickle Finance abgezogen, nachdem der Angreifer zwei gefälschte 'Jar'-Verträge erstellte und eine fehlende Whitelist-Prüfung ausnutzte.

7,7 Mio. $ aus OUSD-Stablecoin-Vault zwei Monate nach Start abgezogen via Fake-Stablecoin-Reentrancy, durch einen gas-sparenden Refactor verursacht.

Value DeFis MultiStables-Vault verlor 7 Mio. $ durch Flash-Loan-Manipulation des Curve-3pool-Preises — ein früher kanonischer Fall des Musters.

Ein gefälschter ERC-20 mit reentrantem transferFrom ließ einen Angreifer Akropolis' Deposit-Flow erneut betreten und 2 Mio. USD Pool-Anteile prägen.

30 Curve-YPool-Preismanipulations-Schleifen, mit 50-Mio.-$-USDC-Flash-Loan finanziert, zogen 24 Mio. $ aus Harvest ab und lösten 570-Mio.-$-Bank-Run aus.

Andre Cronjes unveröffentlichtes Eminence verlor 15 Mio. $ an einen Flash-Loan-Bonding-Curve-Exploit Stunden nach Teasern. 8 Mio. $ zurückgegeben.

281 Mio. $ aus KuCoin-Hot-Wallets in BTC, ETH und ERC-20s abgezogen — der drittgrößte Börsen-Hack je, eine Lazarus-Operation; rund 84 % wiederhergestellt.

Der erste bekannte Flash-Loan-Angriff entzog bZx in vier Tagen zweimal ~954K USD, mit Aave-Krediten zur Manipulation von Uniswap-Oracle-Preisen.

Kanadas größte Krypto-Börse kollabierte, als ihr CEO in Indien 'starb' und alleinigen Zugang zu ~190 Mio. $ Kundengeldern hielt; später Ponzi gewertet.

Eine Wallet-Infrastruktur-Kompromittierung entzog ~16 Mio. USD an ETH und ERC-20s von 76.000+ Cryptopia-Nutzern und führte zur langen Insolvenz in Neuseeland.

Zwei Vorfälle in vier Monaten: ein öffentlicher initWallet-Fehler entzog 30 Mio. $, dann fror ein Nutzer-'Unfall' 150 Mio. $+ in 151 Multi-Sigs ein.

The DAO verlor 3,6M ETH (50 Mio. $) durch den Lehrbuch-Reentrancy-Bug — der Heist, der Ethereum in ETH und Ethereum Classic spaltete.