2023Das Jahr in Brüchen

Rund 220.000 $ aus HYPR Network abgezogen, nachdem ein Bridge-/Contract-Fehler einem Angreifer den Abzug gebridgter Liquidität erlaubte.

Levana Protocol auf Osmosis verlor rund 1,15 Mio. $: Angreifer provozierten Chain-Congestion, um Preisfeeds zu verzögern, und öffneten/schlossen dann Perps.

OKX-DEX-Aggregator-Nutzer verloren 2,7 Mio. $, nachdem ein veralteter Proxy-Admin-Schlüssel den Vertrag auf eine bösartige Version upgradete.

Eine Single-Operator-Kompromittierung zog 87 Mio. $ aus HECOs Cross-Chain-Bridge plus 12 Mio. $ aus HTX-Hot-Wallets — beide Justin-Sun-Plattformen, 24 Stunden.

54,7 Mio. $ aus KyberSwap Elastic abgezogen, nachdem ein Rundungsfehler in Concentrated-Liquidity-Math Pools doppelte Liquidität erkennen ließ.

26 Mio. $ aus Taipei-Market-Maker Kronos Research abgezogen, nachdem API-Keys für programmatische Withdrawals gestohlen wurden; WOO stoppte Handel.

114 Mio. $+ aus Poloniex' Ethereum- und Tron-Hot-Wallets abgezogen, nachdem Schlüssel aus internen Systemen extrahiert wurden; Justin Sun versprach Erstattung.

3,3 Mio. $ R-Stablecoin durch Rundungs-/Share-Mint-Bug in Rafts Sicherheitenlogik gemintet, aber der Angreifer verbrannte ~1.570 ETH beim Cash-Out. R depeggte.

640 Tsd. $ aus Unibot-Nutzern abgezogen über einen Token-Approval-Bug im neuen Router des Telegram-Trading-Bots. Unibot erstattete betroffenen Nutzern voll.

~2,2 Mio. $ aus Platypus Finance in einem Cluster von Oktober-Exploits abgezogen — Avalanche-Stableswap durch fehlerhafte Solvenz-/Withdrawal-Logik getroffen.

2,9 Mio. $ aus Stars Arena, einer Avalanche-SocialFi-App im friend.tech-Stil, abgezogen über einen Fehler in der Anteilspreis-/Auszahlungslogik.

200 Mio. $ aus Mixin-Network-Hot-Wallets abgezogen, nachdem Angreifer den Cloud-Anbieter kompromittierten, der Mixins zentralisierte Datenbank hostete.

2,7 Mio. $ aus Hot Wallets der P2P-Börse Remitano in USDT, ANK, USDC und ETH durch Private-Key-Kompromiss abgezogen; TTPs konsistent mit Lazarus.

Lazarus entzog 54 Mio. USD aus CoinEx-Hot-Wallets über Ethereum, Tron, BSC und sieben weitere Chains, mit Infrastruktur des Stake.com-Hits der Vorwoche.

Stake.com verlor 41 Mio. $ aus Hot Wallets auf Ethereum, BSC und Polygon in 90 Minuten; das FBI schrieb den Heist Lazarus zu und listete 40 Adressen auf.

Angreifer nutzte Rate-Provider-Read-Only-Reentrancy in Balancer Boosted Pools nach Offenlegung und entzog ~2,1 Mio. USD vor vollständigem LP-Exit.

Angreifer übergab Fake-Market und Permit an Exactlys DebtManager auf Optimism; leverage() validierte beides nicht und zog 7,3 Mio. $ aus 117 Konten.

~1,3 Mio. $ aus dem aufgegebenen Swerve Finance gefährdet: Ein Angreifer nutzte schwache Governance, um einen Vorschlag zur Mittel-Beschlagnahme durchzusetzen.

Beim Start der Shibarium-Bridge waren ~2,6 Mio. $ ETH durch einen falsch konfigurierten Vertrag und Traffic-Überlastung blockiert oder unzugänglich.

869.000 $ aus RocketSwap auf Base abgezogen, nachdem ein Server-Einbruch sowohl die verschlüsselten Privatschlüssel als auch das Decryption-Skript lieferte.

2,1 Mio. $ aus Zunami Protocol abgezogen: zETH- und UZD-Preise aus manipulierbaren Curve-Pools wurden von einem Flash-Loan-Angreifer aufgebläht.

1,14 Mio. $ aus Steadefi auf Arbitrum und Avalanche abgezogen, nachdem ein Deployer-Private-Key-Diebstahl die Übernahme von Leverage-Vaults ermöglichte.

Der Entwickler des BALD-Memecoins zog auf Coinbases Base-Testnet Liquidität ab: 5,9 Mio. USD Dev-Profit, 23 Mio. USD Anlegerverlust – Rug Pull bestritten.

Ein fehlerhaftes Reentrancy-Lock in drei Versionen des Vyper-Compilers machte mehrere Curve-Stablepools anfällig für eine klassische Reentrancy-Attacke.

Eine versteckte Deployer-only withdrawFunds-Funktion im Staking-Contract von DeFiLabs zog 1,6 Mio. $ Nutzergelder ab, bevor das Projekt verschwand.

EraLend auf zkSync Era verlor 3,4 Mio. $ durch eine Read-Only-Reentrancy: Der Angreifer manipulierte den USDC-Orakelpreis im Callback einer SyncSwap-Operation.

Private-Key-Kompromittierung entzog AlphaPos Hot Wallets auf Tron, Bitcoin und Ethereum 60 Mio. USD. FBI schrieb den Payment-Processor-Bruch Lazarus zu.

Conic Finances ETH-Omnipool hatte Reentrancy-Guards, nahm aber eine Curve-v2-ETH-Adresse an. Ein neues CurveLPOracleV2 entging ihm – 3,2 Mio. USD entzogen.

125 Mio. $ aus Multichain-Bridge-Verträgen abgezogen, einen Monat nach Verhaftung von CEO Zhaojun; Team verlor MPC-Schlüsselzugang, Inside Job vermutet.

Kannagi Finance, eine zkSync-Era-Yield-Farm, ruggte 2,1 Mio. $ ab, nachdem ihr Closed-Source-Staking-Contract zu einer bösartigen Version upgegradet wurde.

Ein still beschlossener Governance-Vorschlag auf BNB Chain gewährte Angreifern Token-Approval über jedes Atlantis-Loans-Wallet – 2,5 Mio. USD entzogen.

800 Tsd. $ aus Sturdy Finance via Balancer-Read-Only-Reentrancy abgezogen, die B-stETH-STABLE-LP-Sicherheit falsch bepreiste. Mittel zurückgegeben.

Lazarus-Operation zielte auf Atomic Wallets Software statt einzelne Seeds, entzog 100 Mio.+ USD von rund 5.500 Nutzern und umging Self-Custody-Garantien.

7,5 Mio. $ aus Jimbo's Protocol auf Arbitrum extrahiert: Ein Slippage-Control-Fehler in JimboController.shift() ließ Flash-Loan-Drain der Floor-Defense-ETH zu.

Tornado Cash DAO wurde gekapert: Angreifer selfdestructte einen Vorschlag und redeployte Schadcode an derselben Adresse — 1,2M Stimmen vs ~70K legitime.

3 Mio. $ aus Swaprum auf Arbitrum rug-pulled: Ein Arbiswap-Fork, dessen auditierte Verträge eine Backdoor-add()-Funktion in einem upgradeable Proxy versteckten.

DEUS DAOs dritter Vorfall zog 6,5 Mio. $ über BNB, Arbitrum und Ethereum durch einen Fehler in DEIs burnFrom-/Approval-Logik ab.

Level Finance auf BNB Chain verlor 1,1 Mio. $: LevelReferralControllerV2 zahlte Referral-Rewards aus, ohne die Epoch als geclaimt zu markieren — wiederholbar.

Merlin DEX auf zkSync verlor 1,82 Mio. $ Stunden nach Launch durch eine Owner-Hintertür, die Insidern Liquiditätsabzug ermöglichte. CertiKs Audit warnte.

Hundred Finance auf Optimism verlor 7 Mio. $ durch eine Donation-Attack: ein Rundungs-Bug im Compound-v2-Fork ließ winziges hWBTC den Pool drainen.

Eine Signing-Key-Kompromittierung entzog Bitrues Hot Wallet 23 Mio. USD an ETH, QNT, GALA, SHIB, HOT, MATIC – unter 5% der Börsensalden, vor jedem Stopp.

Ein fehlkonfigurierter Legacy-Yearn-iEarn-Vertrag mit falschem Fulcrum-Token mintete 1,2Q yUSDT und entzog 11 Mio. $ aus Aave v1, bevor jemand es bemerkte.

Fehlende Zugriffsprüfung in Sushis RouteProcessor2-Router ließ Bots 3,3 Mio. $ WETH aus Wallets mit Token-Approvals vor einer Whitehat-Rettung abziehen.

SafeMoon verlor 8,9 Mio. $ aus seinem WBNB-Pool, als ein Upgrade burn() öffentlich ließ. Pool-LP-Burning pumpte SFM, dann WBNB-Drain.

Kokomo Finance, ein Optimism-Compound-Fork, ruggte 4 Mio. $ ab: cBTC pausiert, Rewards auf bösartige Implementierung umgeleitet, WBTC weg, Socials gelöscht.

Ein fehlender Health-Check in Eulers donateToReserves-Funktion ließ einen Angreifer eine selbstliquidierbare Position aufbauen und 197 Mio. $ erbeuten.

Hedera-Hashgraph-Pools verloren rund 515.000 $ durch einen Smart-Contract-Service-Decompiler-Bug, der HTS-Tokens abziehen ließ. Hedera pausierte das Netzwerk.

Hope Finance verlor 1,86 Mio. $ am Arbitrum-Launch, weil der deployte Contract vom auditierten abwich; die Gelder gingen direkt zu Tornado Cash.

Dexible-Nutzer verloren 2 Mio. $, nachdem selfSwap mit nutzerseitigen Daten beliebige externe Aufrufe machte und Wallets mit Approvals abzog.

8,5 Mio. $ aus Platypus auf Avalanche durch Flash-Kredit-Exploit von emergencyWithdraw() abgezogen, das Sicherheiten vor Rückzahlung freigab.

Curve Read-Only-Reentrancy auf remove_liquidity zog 3,65 Mio. $ aus dForces wstETH/ETH-Pool auf Arbitrum und Optimism ab. White Hat gab alles zurück.

3 Mio. $ aus Orion auf Ethereum und BSC abgezogen, nachdem doSwapThroughOrionPool unvalidierte Pfade ohne Reentrancy-Schutz akzeptierte; Fake-Token nutzte das.

Eine absurde WALBT-Preismeldung an BonqDAOs Tellor-Oracle (Kosten: 10 TRB, unter 1K USD) prägte 120 Mio. USD und kollabierte den TVL um 99,66%.

Midas Capital auf Polygon verlor 660.000 $ durch eine Curve-Read-Only-Reentrancy, die jBRL/BRZ-LP-Sicherheiten überbewertete und Kreditaufnahme ermöglichte.