BNB Chain-Hacks in 2021

Rug Pull entzog 8ight Finance rund 1,75 Mio. USD: Betreiber leerten Einlagen mittels privilegierter Vertragsrechte und löschten dann ihre gesamte Präsenz.

Angreifer entzog 77,7 Mio. USD an 78 ERC-20-Tokens aus AscendEX-Hot-Wallets auf Ethereum, BSC und Polygon, verbunden mit einer Hardware-Schwachstelle.

Eine einzige Private-Key-Kompromittierung entzog 196 Mio. USD aus zwei Bitmart-Hot-Wallets auf Ethereum und BNB Chain; CEO entschädigte aus Reserven.

Phishing-E-Mail mit Word-Macro auf einem Dev-Rechner ließ Lazarus-verbundene Angreifer 55 Mio. USD aus bZxs Polygon/BSC-Deployments entziehen.

Eine Admin-Key-Kompromittierung ließ den Angreifer 139 Mio. USD an gepoolter DEX-Liquidität von BXH auf BSC abheben – einer der größten Verluste 2021.

Bug im Cross-Chain-Manager-Vertrag erlaubte Angreifer, den Keeper-Public-Key auszutauschen und 611 Mio. $ von drei Chains abzuziehen — voll zurückgegeben.

13 Mio. $+ aus THORChain in zwei Angriffen binnen einer Woche abgezogen — beide nutzten Fake-Deposit-Lücken in der Bifrost-Ethereum-Bridge im Chaosnet aus.

Schwachstelle in ChainSwaps Ethereum-BSC-Bridge ließ Angreifer beliebige Mengen von 20+ Tokens prägen; 4 Mio. USD entzogen, Tokens stürzten 95%+ ab.

Angreifer entdeckte wiederholten k-Wert in zwei BSC-Signaturen, errechnete den MPC-Key von Anyswap V3 zurück und entzog 7,9 Mio. USD aus Router-Pools.

Ein Fehler im emergencyBurn-/Withdraw-Pfad des nerveBUSD-Vaults von Eleven Finance erlaubte Withdraws ohne Share-Burn und zog rund 4,5 Mio. $ auf BNB Chain ab.

Rund 3,7 Mio. $ aus Impossible Finance auf BNB Chain abgezogen via einen Swap-Router-Fehler, der wiederholtes Swappen gegen stale Reserven in einer Tx erlaubte.

Wault Finance auf BNB Chain verlor ~1 Mio. $: Flash-Loan-Manipulation der WUSD/WEX-Bepreisung erlaubte Mint und Redeem zu verzerrten Raten und Reserven-Drain.

385 Mio. USD Flash-Loans manipulierten eine Belt-Finance-beltBUSD-Strategie und verzerrten die Share-Price-Berechnung – 6,23 Mio. USD aus 50 Mio. entzogen.

BurgerSwap auf BNB Chain validierte Swap-Path-Tokens nicht; der Callback eines Fake-Tokens re-entrierte den Pool mid-Swap und entzog 7,2 Mio. USD.

Mehrere Exploits 2021 (~680.000 $+) bei Merlin Labs auf BNB Chain — die Strategie-Preise des Yield-Optimierers wurden per Flash-Kredit wiederholt manipuliert.

Eine Flash-Loan-SHARK/BNB-Preismanipulation blähte AutoSharks Mint auf und entzog ~745K USD auf BSC – ein fast exaktes Replay des PancakeBunny-Musters.

45 Mio. $ aus PancakeBunny entwendet, als ein Flash-Kredit über 704 Mio. $ das BUNNY/BNB-Orakel manipulierte und ~7 Mio. BUNNY aus dem Nichts mintete.

Spartan Protocol verlor 30 Mio. $ auf BSC durch eine fehlerhafte Liquiditäts-Share-Berechnung — der erste große Flash-Loan-Angriff auf BSC.

57,2 Mio. $ aus Uranium Finance extrahiert: Eine falsch platzierte Konstante in v2.1 (1.000.000 statt 10.000) ließ 1 Wei für 98 % der Pools tauschen.

Ein Flash Loan manipulierte TRUNK/BUSD- und ELEPHANT-Preise in Elephant Moneys BNB-Chain-Mint/Redeem und erlaubte rund 22 Mio. $ Extraktion.

DODOs V2-Crowdpools verloren 3,8 Mio. $, nachdem der Angreifer init() mit einem Fake-Token erneut aufrief; die Pools hatten keinen Re-Init-Guard.

Flash-Loan-Manipulation des gToken-/stkToken-Pricings in Growth DeFis Yield-Strategie ließ einen Angreifer rund 1,3 Mio. $ Reserven extrahieren.