2022Das Jahr in Brüchen

Eine Owner-Key-Kompromittierung fügte einen Fake-Collateral-Token zu Defrost Finance auf Avalanche hinzu und liquidierte alle Positionen für rund 12 Mio. $.

Ein Breach von LastPass-Vault-Backups führte zu mehrjährigem Drain bei Nutzern, die Seeds dort speicherten; Verluste wuchsen auf über 400 Mio. $.

4,4 Mio. $ aus Raydiums Solana-Pools abgezogen, nachdem Malware den Pool-Admin-Privatschlüssel stahl und Admin-Funktionen für Gebührenentnahme nutzte.

Lodestar auf Arbitrum verlor 6,5 Mio. $: Sein plvGLP-Orakel ignorierte donate()-Inflation, sodass Angreifer gegen 83 %-aufgeblähtes Collateral lieh.

Lodestar auf Arbitrum verlor 6,5 Mio. $, nachdem der Angreifer das plvGLP-Orakel manipulierte, das den GLP-Pool-Status direkt las und Kredite ermöglichte.

Gestohlener Ankr-Entwicklerschlüssel ließ 60 Bio. aBNBc prägen; Helio nahm sie als Sicherheit für 16 Mio. USD HAY. Binance fror 3 Mio. USD ein.

Eine SIM-Swap-Operation zog 477 Mio. $ aus FTX-Wallets binnen Stunden nach dem Chapter-11-Antrag — im Chaos des größten Krypto-Kollapses seit Mt. Gox.

3,2 Mio. $ aus Skyward Finance auf NEAR abgezogen über einen Treasury-Buchhaltungsfehler, der mehrfache SKYWARD-Einlösungen gegen dasselbe Guthaben erlaubte.

Angreifer zogen 28 Mio. $ aus Deribits BTC-/ETH-/USDC-Hot-Wallets ab; die Optionsbörse deckte den Schaden aus eigener Bilanz, Cold Storage blieb intakt.

Team Finance verlor 15,8 Mio. $ bei Uniswap v2→v3-Migration: Gesperrte Tokens in verzerrtes v3-Paar verschoben, als 'Rest' für 2.700 $ Gas erstattet.

1,1 Mio. $ aus Sovryn, einem Bitcoin-DeFi-Protokoll auf RSK, abgezogen über AMM/Orakel-Preismanipulation, die Kredite gegen aufgeblähte Sicherheit ermöglichte.

8,4 Mio. $ aus Celos Moola Market entwendet: Angreifer kaufte MOO mit 243.000 $ CELO, pumpte 300×, nutzte als Sicherheit; 93,1 % gegen 500.000 $ zurück.

Avraham Eisenberg pumpte das MNGO-Orakel um 2.300 % in 10 Minuten, lieh sich 117 Mio. $ gegen aufgeblähte Sicherheiten und definierte Manipulationsrecht neu.

2,3 Mio. $ aus TempleDAOs StaxLPStaking abgezogen, nachdem migrateStake() den Aufrufer nicht validierte und jedem die Migration fremder Positionen erlaubte.

Fehlerhafte Merkle-Beweis-Verifikation in BSCs nativer Bridge ließ den Angreifer Abhebungen für 2M BNB fälschen, bevor Validatoren die Chain pausierten.

Transit-Swap-Nutzer mit unbegrenzten Approvals verloren 21 Mio. $: claimTokens validierte das Ziel-Token nicht. 70 % nach Verhandlungen zurück.

Wintermute verlor 160 Mio. $ aus einer Hot Wallet mit Profanity-Vanity-Adresse: Ein 32-Bit-PRNG-Seed ließ jeden Key brute-forcen. Sie wussten es.

Angreifer hijackten curve.fis DNS via Domain-Registrar, lieferten Wallet-Drainer-Frontend, stahlen ~575K USD von Nutzern – Verträge blieben unangetastet.

~9.231 Solana-Wallets verloren 4,1 Mio. $: Slopes App loggte Seed-Phrasen im Klartext an einen Sentry-Server — per On-Chain-Forensik aufgespürt.

Ein routinemäßiges Upgrade markierte den Zero-Hash als gültigen Root, was jede Nomad-Nachricht zu einer kopierbaren Abhebung machte.

Ein Flash-Kredit über 10 Mio. USDC blähte Nirvanas ANA-Token 4× im eigenen Orakel auf; Angreifer tauschte ANA gegen 13,49 Mio. USDT, NIRV verlor 90 % Peg.

Angreifer nutzte einen Audius-Initializer-Bug, delegierte sich 10 Bio. AUDIO und verabschiedete einen Vorschlag, der 6 Mio. USD aus dem Treasury entzog.

Ein gefälschtes Tick-Konto umging Cremas Owner-Check und erntete fiktive Gebühren via CLMM, entzog 9,6 Mio. USD auf Solana. 8 Mio. zurückgegeben.

Lazarus kompromittierte zwei von fünf Operator-Multi-Sig-Keys an Harmonys Cross-Chain-Bridge und zog 100 Mio. $ ab; das 2-von-5-Quorum war zu niedrig.

Gym Network auf BNB Chain verlor 2,1 Mio. $: Eine Deposit-Funktion akzeptierte eine Referrer-Signatur ohne Validierung und ließ riesige GYMNET-Rewards minten.

Fortress Protocol auf BNB Chain verlor 3 Mio. $: Angreifer manipulierte FTS via dünnes Orakel und nutzte Governance für beliebige Collateral-Faktoren.

MM-Finance-Nutzer auf Cronos verloren 2 Mio. $, nachdem ein Angreifer eine offene Konfiguration nutzte, um die Router-Adresse des DEX-Frontends auszutauschen.

Reentrancy auf exitMarket() zog 80 Mio. $ aus Rari Capitals Fuse-Lending-Pools — eine Funktion, die das Team beim Patch des Vormonats zu schützen vergaß.

Saddles sUSDv2-Metapool verlor 11,9 Mio. $, als ein bekannter MetaSwapUtils-Bug versehentlich neu deployt wurde; BlockSec-Bots retteten 3,97 Mio. $ vor.

DEUS DAO verlor 13,4 Mio. $, nachdem DEI-Collateral aus einem Solidly DEI/USDC-Pool gepreist wurde, den ein Flash-Loan-Angreifer manipulierte.

Ein 1 Mrd. USD Flash-Loan kaufte in einem Block 67% der Beanstalk-Governance und entzog das Treasury. Angreifergewinn: 76 Mio. von 182 Mio. USD Verlust.

15,6 Mio. $ aus Inverse Finance abgezogen durch Manipulation des Keep3r INV/ETH-Orakels via privatem Mempool-Bundle — TWAP in einem unsichtbaren Block umgangen.

Voltage Finances Fuse-Lending-Markt verlor 4 Mio. $: Der ERC-677-transferAndCall-Hook erlaubte Reentrancy in die borrow-Funktion, bevor Schulden erfasst wurden.

2 Mio. $ aus Revest Finance durch eine Reentrancy in depositAdditionalToFNFT abgezogen — Angreifer mintete überbewertete NFTs und löste sie ein.

Zwei fehlende Sicherheitsprüfungen ließen einen Angreifer 2 Milliarden gefälschte CASH-Stablecoins auf Cashio prägen; TVL fiel von 48 Mio. USD auf null.

Validator-Private-Key-Kompromiss zog 173.600 ETH und 25,5 Mio. USDC aus der Ronin-Bridge ab — der größte Krypto-Hack zu dieser Zeit.

Ein gemeinsamer Cross-Function-Reentrancy-Exploit entzog Agave und Hundred Finance auf Gnosis Chain rund 11 Mio. USD über wETH/wXDAI-Callbacks.

~1,7 Mio. $ aus Paraluni auf BNB Chain abgezogen, nachdem die Einzahlung einen unvalidierten Token ohne Reentrancy-Schutz akzeptierte; Fake-Token nutzte das.

~1,4 Mio. $ NFTs aus TreasureDAOs Marketplace gestohlen: Die Buy-Funktion prüfte nicht, dass Quantity einen Preis ungleich null erzeugte — Gratis-Käufe möglich.

Eine Private-Key-Kompromittierung zog 10 Mio. $ aus Dego Finance auf Ethereum und BNB Chain ab und fegte Pools sowie Wallets mit aktiven Token-Approvals leer.

8,7 Mio. $ aus Superfluid abgezogen, nachdem ein bösartiger 'Context' an den Host-Vertrag den Aufrufer fälschte und privilegierte Streams ausführen ließ.

Meter Passport Bridge verlor 4,4 Mio. $, als ihr Deposit-Handler einer Wrapped-Token-Summe vertraute, die ohne Deckung gesetzt werden konnte.

Eine Signaturverifikations-Umgehung auf Wormholes Solana-Seite ließ den Angreifer 120.000 wETH aus dem Nichts prägen — gedeckt durch null Ethereum-Sicherheit.

Ein Angreifer täuschte Qubits BSC-Bridge dazu, 77.162 qXETH (nominell 185 Mio. $) ohne ETH-Einzahlung zu minten und 206.809 BNB (80 Mio. $) zu leihen.

2FA-Bypass-Exploit entzog 34 Mio. USD aus 483 Crypto.com-Konten; Angreifer autorisierten Transaktionen, ohne dass der zweite Faktor je den Nutzer abfragte.

Certik-auditiertes Arbix Finance auf Arbitrum prägte 10M ARBX an Angreiferadressen, entzog 10 Mio. USD und löschte seine gesamte Web- und Social-Präsenz.

~3 Mio. $ aus Tinyman, dem Haupt-AMM auf Algorand, abgezogen über einen Swap/Burn-Logikfehler in Pool-Token-Operationen über viele Pools hinweg.