2020Das Jahr in Brüchen

Ein Solidity-Storage/Memory-Bug in Covers Blacksmith-Vertrag prägte 40 Trillionen COVER; Preis fiel von 700 USD auf unter 5. White-Hat gab alle Mittel zurück.

Warp Finance verlor 7,8 Mio. $: Bewertung der Uniswap-LP-Token-Sicherheit aus manipulierbaren Spot-Reserven, ein Flash Loan blähte den LP-Wert auf.

Compounder-Finance-Team pushte ein bösartiges Strategie-Vertrags-Upgrade, das Pool-Logik gegen eine Drain-Funktion tauschte – 12 Mio. USD Einlagen rugged.

Compound liquidierte 89 Mio. USD an Positionen, nachdem DAI kurz für 1,30 USD auf Coinbase Pro handelte – der einzigen Oracle-Quelle. Kein Hack.

19,76 Mio. DAI aus Pickle Finance abgezogen, nachdem der Angreifer zwei gefälschte 'Jar'-Verträge erstellte und eine fehlende Whitelist-Prüfung ausnutzte.

7,7 Mio. $ aus OUSD-Stablecoin-Vault zwei Monate nach Start abgezogen via Fake-Stablecoin-Reentrancy, durch einen gas-sparenden Refactor verursacht.

Value DeFis MultiStables-Vault verlor 7 Mio. $ durch Flash-Loan-Manipulation des Curve-3pool-Preises — ein früher kanonischer Fall des Musters.

Ein gefälschter ERC-20 mit reentrantem transferFrom ließ einen Angreifer Akropolis' Deposit-Flow erneut betreten und 2 Mio. USD Pool-Anteile prägen.

30 Curve-YPool-Preismanipulations-Schleifen, mit 50-Mio.-$-USDC-Flash-Loan finanziert, zogen 24 Mio. $ aus Harvest ab und lösten 570-Mio.-$-Bank-Run aus.

Andre Cronjes unveröffentlichtes Eminence verlor 15 Mio. $ an einen Flash-Loan-Bonding-Curve-Exploit Stunden nach Teasern. 8 Mio. $ zurückgegeben.

281 Mio. $ aus KuCoin-Hot-Wallets in BTC, ETH und ERC-20s abgezogen — der drittgrößte Börsen-Hack je, eine Lazarus-Operation; rund 84 % wiederhergestellt.

Der erste bekannte Flash-Loan-Angriff entzog bZx in vier Tagen zweimal ~954K USD, mit Aave-Krediten zur Manipulation von Uniswap-Oracle-Preisen.