Ethereum-Hacks in 2022

Ein Breach von LastPass-Vault-Backups führte zu mehrjährigem Drain bei Nutzern, die Seeds dort speicherten; Verluste wuchsen auf über 400 Mio. $.

Eine SIM-Swap-Operation zog 477 Mio. $ aus FTX-Wallets binnen Stunden nach dem Chapter-11-Antrag — im Chaos des größten Krypto-Kollapses seit Mt. Gox.

Angreifer zogen 28 Mio. $ aus Deribits BTC-/ETH-/USDC-Hot-Wallets ab; die Optionsbörse deckte den Schaden aus eigener Bilanz, Cold Storage blieb intakt.

Team Finance verlor 15,8 Mio. $ bei Uniswap v2→v3-Migration: Gesperrte Tokens in verzerrtes v3-Paar verschoben, als 'Rest' für 2.700 $ Gas erstattet.

2,3 Mio. $ aus TempleDAOs StaxLPStaking abgezogen, nachdem migrateStake() den Aufrufer nicht validierte und jedem die Migration fremder Positionen erlaubte.

Transit-Swap-Nutzer mit unbegrenzten Approvals verloren 21 Mio. $: claimTokens validierte das Ziel-Token nicht. 70 % nach Verhandlungen zurück.

Wintermute verlor 160 Mio. $ aus einer Hot Wallet mit Profanity-Vanity-Adresse: Ein 32-Bit-PRNG-Seed ließ jeden Key brute-forcen. Sie wussten es.

Angreifer hijackten curve.fis DNS via Domain-Registrar, lieferten Wallet-Drainer-Frontend, stahlen ~575K USD von Nutzern – Verträge blieben unangetastet.

Ein routinemäßiges Upgrade markierte den Zero-Hash als gültigen Root, was jede Nomad-Nachricht zu einer kopierbaren Abhebung machte.

Angreifer nutzte einen Audius-Initializer-Bug, delegierte sich 10 Bio. AUDIO und verabschiedete einen Vorschlag, der 6 Mio. USD aus dem Treasury entzog.

Lazarus kompromittierte zwei von fünf Operator-Multi-Sig-Keys an Harmonys Cross-Chain-Bridge und zog 100 Mio. $ ab; das 2-von-5-Quorum war zu niedrig.

Reentrancy auf exitMarket() zog 80 Mio. $ aus Rari Capitals Fuse-Lending-Pools — eine Funktion, die das Team beim Patch des Vormonats zu schützen vergaß.

Saddles sUSDv2-Metapool verlor 11,9 Mio. $, als ein bekannter MetaSwapUtils-Bug versehentlich neu deployt wurde; BlockSec-Bots retteten 3,97 Mio. $ vor.

Ein 1 Mrd. USD Flash-Loan kaufte in einem Block 67% der Beanstalk-Governance und entzog das Treasury. Angreifergewinn: 76 Mio. von 182 Mio. USD Verlust.

15,6 Mio. $ aus Inverse Finance abgezogen durch Manipulation des Keep3r INV/ETH-Orakels via privatem Mempool-Bundle — TWAP in einem unsichtbaren Block umgangen.

2 Mio. $ aus Revest Finance durch eine Reentrancy in depositAdditionalToFNFT abgezogen — Angreifer mintete überbewertete NFTs und löste sie ein.

Validator-Private-Key-Kompromiss zog 173.600 ETH und 25,5 Mio. USDC aus der Ronin-Bridge ab — der größte Krypto-Hack zu dieser Zeit.

Eine Private-Key-Kompromittierung zog 10 Mio. $ aus Dego Finance auf Ethereum und BNB Chain ab und fegte Pools sowie Wallets mit aktiven Token-Approvals leer.

Eine Signaturverifikations-Umgehung auf Wormholes Solana-Seite ließ den Angreifer 120.000 wETH aus dem Nichts prägen — gedeckt durch null Ethereum-Sicherheit.

Ein Angreifer täuschte Qubits BSC-Bridge dazu, 77.162 qXETH (nominell 185 Mio. $) ohne ETH-Einzahlung zu minten und 206.809 BNB (80 Mio. $) zu leihen.

2FA-Bypass-Exploit entzog 34 Mio. USD aus 483 Crypto.com-Konten; Angreifer autorisierten Transaktionen, ohne dass der zweite Faktor je den Nutzer abfragte.