Smart-Contract-Bug-Angriffe in 2023

54,7 Mio. $ aus KyberSwap Elastic abgezogen, nachdem ein Rundungsfehler in Concentrated-Liquidity-Math Pools doppelte Liquidität erkennen ließ.

3,3 Mio. $ R-Stablecoin durch Rundungs-/Share-Mint-Bug in Rafts Sicherheitenlogik gemintet, aber der Angreifer verbrannte ~1.570 ETH beim Cash-Out. R depeggte.

640 Tsd. $ aus Unibot-Nutzern abgezogen über einen Token-Approval-Bug im neuen Router des Telegram-Trading-Bots. Unibot erstattete betroffenen Nutzern voll.

~2,2 Mio. $ aus Platypus Finance in einem Cluster von Oktober-Exploits abgezogen — Avalanche-Stableswap durch fehlerhafte Solvenz-/Withdrawal-Logik getroffen.

2,9 Mio. $ aus Stars Arena, einer Avalanche-SocialFi-App im friend.tech-Stil, abgezogen über einen Fehler in der Anteilspreis-/Auszahlungslogik.

Angreifer übergab Fake-Market und Permit an Exactlys DebtManager auf Optimism; leverage() validierte beides nicht und zog 7,3 Mio. $ aus 117 Konten.

DEUS DAOs dritter Vorfall zog 6,5 Mio. $ über BNB, Arbitrum und Ethereum durch einen Fehler in DEIs burnFrom-/Approval-Logik ab.

Level Finance auf BNB Chain verlor 1,1 Mio. $: LevelReferralControllerV2 zahlte Referral-Rewards aus, ohne die Epoch als geclaimt zu markieren — wiederholbar.

Hundred Finance auf Optimism verlor 7 Mio. $ durch eine Donation-Attack: ein Rundungs-Bug im Compound-v2-Fork ließ winziges hWBTC den Pool drainen.

Ein fehlkonfigurierter Legacy-Yearn-iEarn-Vertrag mit falschem Fulcrum-Token mintete 1,2Q yUSDT und entzog 11 Mio. $ aus Aave v1, bevor jemand es bemerkte.

Fehlende Zugriffsprüfung in Sushis RouteProcessor2-Router ließ Bots 3,3 Mio. $ WETH aus Wallets mit Token-Approvals vor einer Whitehat-Rettung abziehen.

SafeMoon verlor 8,9 Mio. $ aus seinem WBNB-Pool, als ein Upgrade burn() öffentlich ließ. Pool-LP-Burning pumpte SFM, dann WBNB-Drain.

Ein fehlender Health-Check in Eulers donateToReserves-Funktion ließ einen Angreifer eine selbstliquidierbare Position aufbauen und 197 Mio. $ erbeuten.

Hedera-Hashgraph-Pools verloren rund 515.000 $ durch einen Smart-Contract-Service-Decompiler-Bug, der HTS-Tokens abziehen ließ. Hedera pausierte das Netzwerk.

Dexible-Nutzer verloren 2 Mio. $, nachdem selfSwap mit nutzerseitigen Daten beliebige externe Aufrufe machte und Wallets mit Approvals abzog.