2021Das Jahr in Brüchen

Rug Pull entzog 8ight Finance rund 1,75 Mio. USD: Betreiber leerten Einlagen mittels privilegierter Vertragsrechte und löschten dann ihre gesamte Präsenz.

Ein Fehler in Bent Finances Reward-Verteilungs-Buchhaltung ließ eine Adresse ~1,7 Mio. USD an Belohnungen weit über ihre Berechtigung beanspruchen.

Visor Finances Staking-Vertrag verlor 8,2 Mio. $ durch Reentrancy im delegateTransferERC20-Pfad. VISR fiel um 95 %; Visor migrierte zu neuem Token.

Grim-Finance-Vaults auf Fantom verloren 30 Mio. $ durch eine 5-Schleifen-Reentrancy in depositFor. TVL fiel von 98,9 Mio. $ auf 4,2 Mio. $.

148 Vulcan-Forged-Nutzer-Wallets verloren 4,5M PYR (140 Mio. $) nach Kompromittierung von Venly. Vollständige Erstattung aus der Treasury.

Angreifer entzog 77,7 Mio. USD an 78 ERC-20-Tokens aus AscendEX-Hot-Wallets auf Ethereum, BSC und Polygon, verbunden mit einer Hardware-Schwachstelle.

Eine einzige Private-Key-Kompromittierung entzog 196 Mio. USD aus zwei Bitmart-Hot-Wallets auf Ethereum und BNB Chain; CEO entschädigte aus Reserven.

Kompromittierter Cloudflare-API-Key ließ Angreifer zwei Wochen lang bösartige Approvals in BadgerDAOs Frontend einschleusen – 120 Mio. USD entzogen.

31 Mio. $ aus MonoX' Single-Token-Pools abgezogen, nachdem der Angreifer einen Token mit sich selbst tauschte und MONO im Orakel des Protokolls aufpumpte.

Avalanche-Memecoin SDOG verlor 18 Mio. $ an Insider, die den 'challengeKey' für den Rückkauf-DEX kannten und ihn leerten, bevor Retail reagieren konnte.

Phishing-E-Mail mit Word-Macro auf einem Dev-Rechner ließ Lazarus-verbundene Angreifer 55 Mio. USD aus bZxs Polygon/BSC-Deployments entziehen.

Eine Admin-Key-Kompromittierung ließ den Angreifer 139 Mio. USD an gepoolter DEX-Liquidität von BXH auf BSC abheben – einer der größten Verluste 2021.

Flash-Loan-Preismanipulation von yUSD ließ Angreifer gegen 1 Mrd. USD Fake-Sicherheit borgen und 130 Mio. USD aus Cream entziehen – dritter Exploit 2021.

16 Mio. $ aus DEFI5- und CC10-Index-Pools per Flash-Loan-Exploit der Rebalancing-Mathematik abgezogen; der jugendliche Angreifer berief sich auf code-is-law.

90 Mio. $ aus Terra-basiertem Mirror Protocol über Duplikat-ID-Sicherheitenfreigaben abgezogen; sieben Monate unbemerkt bis Terras Kollaps es offenlegte.

Bug in Compounds Proposal-62-Upgrade zahlte bis zu 147 Mio. USD an ungewollten COMP-Rewards aus. Meist freiwillig zurückgegeben, ein Teil behalten.

JayPegs Automart, ein Ethereum-NFT-Schema für automatisiertes Trading während der NFT-Manie 2021, exit-scammte Nutzer um rund 3,1 Mio. $ und verschwand.

Vee Finance auf Avalanche verlor 35 Mio. $ nach Launch: Pangolin-Preismanipulation umging Slippage-Prüfung mit Decimals-Bug — SlowMist hatte gewarnt.

Eine ungeschützte init()-Funktion in DAO Makers Vesting-Contracts ließ einen Angreifer die Eigentümerschaft übernehmen und 4 Mio. $ aus Nutzer-Pools abziehen.

18,8 Mio. USD aus Cream-v1-Lending via Reentrancy-Bug im ERC-777-Transfer-Hook des AMP-Tokens entzogen – zweiter von Creams drei 2021er Exploits.

Rund 97 Mio. $ aus Liquid Globals Warm Wallets in ETH, XRP, BTC und Stablecoins gefegt; FTX gewährte 120-Mio.-$-Notkredit und übernahm die Börse später.

Bug im Cross-Chain-Manager-Vertrag erlaubte Angreifer, den Keeper-Public-Key auszutauschen und 611 Mio. $ von drei Chains abzuziehen — voll zurückgegeben.

9 Mio. $ aus Punk Protocol Minuten nach Start abgezogen via delegatecall auf Initialize, das Angreifer als Forge setzte; 5 Mio. von White-Hats gerettet.

20,7 Mio. $ aus Popsicles Sorbetto-Fragola-Pool abgezogen, nachdem Flash-Kredite plus Anteilstransfers den Vertrag täuschten, TVL-Belohnung zu schulden.

Rund 1,5 Mio. $ aus Levyathan Finance auf Fantom abgezogen: Der Deployer-Key des Teams wurde in ein öffentliches Repo geleakt — Angreifer mintete LEV.

13 Mio. $+ aus THORChain in zwei Angriffen binnen einer Woche abgezogen — beide nutzten Fake-Deposit-Lücken in der Bifrost-Ethereum-Bridge im Chaosnet aus.

Kompromittierter Deployer-Key ließ Angreifer ~373M BONDLY (~5,9 Mio. USD) prägen und in Liquidität dumpen; Bondly migrierte später Verträge.

Schwachstelle in ChainSwaps Ethereum-BSC-Bridge ließ Angreifer beliebige Mengen von 20+ Tokens prägen; 4 Mio. USD entzogen, Tokens stürzten 95%+ ab.

Angreifer entdeckte wiederholten k-Wert in zwei BSC-Signaturen, errechnete den MPC-Key von Anyswap V3 zurück und entzog 7,9 Mio. USD aus Router-Pools.

~248.000 $ aus SafeDollar auf Polygon durch einen Belohnungs-Berechnungs-Fehler abgezogen, der SDO/USDC-Reserven leerte und den Peg des Stablecoins brach.

Ein Fehler im emergencyBurn-/Withdraw-Pfad des nerveBUSD-Vaults von Eleven Finance erlaubte Withdraws ohne Share-Burn und zog rund 4,5 Mio. $ auf BNB Chain ab.

Rund 3,7 Mio. $ aus Impossible Finance auf BNB Chain abgezogen via einen Swap-Router-Fehler, der wiederholtes Swappen gegen stale Reserven in einer Tx erlaubte.

Ein Deploy-Skript-Bug erzeugte Phantom-Vaults und lenkte 6,5 Mio. USD Belohnungen um, sodass Nutzerschulden getilgt wurden. Mint in 15 Minuten gestoppt.

Wault Finance auf BNB Chain verlor ~1 Mio. $: Flash-Loan-Manipulation der WUSD/WEX-Bepreisung erlaubte Mint und Redeem zu verzerrten Raten und Reserven-Drain.

385 Mio. USD Flash-Loans manipulierten eine Belt-Finance-beltBUSD-Strategie und verzerrten die Share-Price-Berechnung – 6,23 Mio. USD aus 50 Mio. entzogen.

BurgerSwap auf BNB Chain validierte Swap-Path-Tokens nicht; der Callback eines Fake-Tokens re-entrierte den Pool mid-Swap und entzog 7,2 Mio. USD.

Mehrere Exploits 2021 (~680.000 $+) bei Merlin Labs auf BNB Chain — die Strategie-Preise des Yield-Optimierers wurden per Flash-Kredit wiederholt manipuliert.

Eine Flash-Loan-SHARK/BNB-Preismanipulation blähte AutoSharks Mint auf und entzog ~745K USD auf BSC – ein fast exaktes Replay des PancakeBunny-Musters.

45 Mio. $ aus PancakeBunny entwendet, als ein Flash-Kredit über 704 Mio. $ das BUNNY/BNB-Orakel manipulierte und ~7 Mio. BUNNY aus dem Nichts mintete.

xToken verlor 24 Mio. $: xSNXa und xBNTa wurden aus manipulierbaren Pools bepreist; ein Flash Loan ließ Angreifer Strategie-Tokens billig minten und einlösen.

2.600 ETH (10 Mio. $, 60 % des Pools) aus Raris Ethereum-Pool abgezogen, nachdem die Alpha-Finance-ibETH-Integration externe Aufrufe und Reentrancy erlaubte.

Spartan Protocol verlor 30 Mio. $ auf BSC durch eine fehlerhafte Liquiditäts-Share-Berechnung — der erste große Flash-Loan-Angriff auf BSC.

57,2 Mio. $ aus Uranium Finance extrahiert: Eine falsch platzierte Konstante in v2.1 (1.000.000 statt 10.000) ließ 1 Wei für 98 % der Pools tauschen.

Angreifer kompromittierten den Rechner des CEO, zogen Keys aus seiner MetaMask-Admin-Wallet und mintete EASY, drainte über 80 Mio. $ aus Polygon-Pools.

Ein Flash Loan manipulierte TRUNK/BUSD- und ELEPHANT-Preise in Elephant Moneys BNB-Chain-Mint/Redeem und erlaubte rund 22 Mio. $ Extraktion.

5,7 Mio. $ aus Rolls Hot Wallet abgezogen, was Dutzende unabhängiger 'Social Money'-Creator-Tokens durch einen Private-Key-Kompromiss kollabierte.

DODOs V2-Crowdpools verloren 3,8 Mio. $, nachdem der Angreifer init() mit einem Fake-Token erneut aufrief; die Pools hatten keinen Re-Init-Guard.

PAID Network hatte 27 Mio. $+ geminted nach kompromittiertem Deployer-Schlüssel; Angreifer dumpte ~2,5 Mio. für 3 Mio. $ vor Pause. PAID fiel ~85 %.

Furucombo-Nutzer verloren 14 Mio. $, nachdem der Angreifer den Proxy zu einem Delegatecall auf eine bösartige Aave-v2-Pseudo-Implementierung verleitete.

Flash-Loan-Manipulation des gToken-/stkToken-Pricings in Growth DeFis Yield-Strategie ließ einen Angreifer rund 1,3 Mio. $ Reserven extrahieren.

Ein Custom-Spell-Vertrag nutzte einen Borrow-Share-Rundungsbug, um null Anteile gegen reale cySUSD-Schulden zu akkumulieren – 37,5 Mio. USD entzogen.

Yearns yDAI-Vault verlor 11 Mio. $ (Angreifer netto 2,8 Mio. $): Eine 11-Tx-Flash-Loan-Sequenz verzerrte Curve-3pool-DAI-Preise. Tether fror 1,7 Mio. $ ein.

Saddle Finance verlor ~276.000 $ innerhalb einer Stunde nach Launch, als ein fehlerhafter Stableswap Arbitrageuren falsch bepreiste Kurse erlaubte.