Smart-Contract-Bug-Angriffe in 2022

3,2 Mio. $ aus Skyward Finance auf NEAR abgezogen über einen Treasury-Buchhaltungsfehler, der mehrfache SKYWARD-Einlösungen gegen dasselbe Guthaben erlaubte.

Team Finance verlor 15,8 Mio. $ bei Uniswap v2→v3-Migration: Gesperrte Tokens in verzerrtes v3-Paar verschoben, als 'Rest' für 2.700 $ Gas erstattet.

2,3 Mio. $ aus TempleDAOs StaxLPStaking abgezogen, nachdem migrateStake() den Aufrufer nicht validierte und jedem die Migration fremder Positionen erlaubte.

Transit-Swap-Nutzer mit unbegrenzten Approvals verloren 21 Mio. $: claimTokens validierte das Ziel-Token nicht. 70 % nach Verhandlungen zurück.

Ein gefälschtes Tick-Konto umging Cremas Owner-Check und erntete fiktive Gebühren via CLMM, entzog 9,6 Mio. USD auf Solana. 8 Mio. zurückgegeben.

Gym Network auf BNB Chain verlor 2,1 Mio. $: Eine Deposit-Funktion akzeptierte eine Referrer-Signatur ohne Validierung und ließ riesige GYMNET-Rewards minten.

Saddles sUSDv2-Metapool verlor 11,9 Mio. $, als ein bekannter MetaSwapUtils-Bug versehentlich neu deployt wurde; BlockSec-Bots retteten 3,97 Mio. $ vor.

Zwei fehlende Sicherheitsprüfungen ließen einen Angreifer 2 Milliarden gefälschte CASH-Stablecoins auf Cashio prägen; TVL fiel von 48 Mio. USD auf null.

~1,4 Mio. $ NFTs aus TreasureDAOs Marketplace gestohlen: Die Buy-Funktion prüfte nicht, dass Quantity einen Preis ungleich null erzeugte — Gratis-Käufe möglich.

8,7 Mio. $ aus Superfluid abgezogen, nachdem ein bösartiger 'Context' an den Host-Vertrag den Aufrufer fälschte und privilegierte Streams ausführen ließ.

~3 Mio. $ aus Tinyman, dem Haupt-AMM auf Algorand, abgezogen über einen Swap/Burn-Logikfehler in Pool-Token-Operationen über viele Pools hinweg.