Ethereum-Hacks in 2023

Rund 220.000 $ aus HYPR Network abgezogen, nachdem ein Bridge-/Contract-Fehler einem Angreifer den Abzug gebridgter Liquidität erlaubte.

OKX-DEX-Aggregator-Nutzer verloren 2,7 Mio. $, nachdem ein veralteter Proxy-Admin-Schlüssel den Vertrag auf eine bösartige Version upgradete.

Eine Single-Operator-Kompromittierung zog 87 Mio. $ aus HECOs Cross-Chain-Bridge plus 12 Mio. $ aus HTX-Hot-Wallets — beide Justin-Sun-Plattformen, 24 Stunden.

54,7 Mio. $ aus KyberSwap Elastic abgezogen, nachdem ein Rundungsfehler in Concentrated-Liquidity-Math Pools doppelte Liquidität erkennen ließ.

26 Mio. $ aus Taipei-Market-Maker Kronos Research abgezogen, nachdem API-Keys für programmatische Withdrawals gestohlen wurden; WOO stoppte Handel.

114 Mio. $+ aus Poloniex' Ethereum- und Tron-Hot-Wallets abgezogen, nachdem Schlüssel aus internen Systemen extrahiert wurden; Justin Sun versprach Erstattung.

3,3 Mio. $ R-Stablecoin durch Rundungs-/Share-Mint-Bug in Rafts Sicherheitenlogik gemintet, aber der Angreifer verbrannte ~1.570 ETH beim Cash-Out. R depeggte.

640 Tsd. $ aus Unibot-Nutzern abgezogen über einen Token-Approval-Bug im neuen Router des Telegram-Trading-Bots. Unibot erstattete betroffenen Nutzern voll.

200 Mio. $ aus Mixin-Network-Hot-Wallets abgezogen, nachdem Angreifer den Cloud-Anbieter kompromittierten, der Mixins zentralisierte Datenbank hostete.

2,7 Mio. $ aus Hot Wallets der P2P-Börse Remitano in USDT, ANK, USDC und ETH durch Private-Key-Kompromiss abgezogen; TTPs konsistent mit Lazarus.

Lazarus entzog 54 Mio. USD aus CoinEx-Hot-Wallets über Ethereum, Tron, BSC und sieben weitere Chains, mit Infrastruktur des Stake.com-Hits der Vorwoche.

Stake.com verlor 41 Mio. $ aus Hot Wallets auf Ethereum, BSC und Polygon in 90 Minuten; das FBI schrieb den Heist Lazarus zu und listete 40 Adressen auf.

Angreifer nutzte Rate-Provider-Read-Only-Reentrancy in Balancer Boosted Pools nach Offenlegung und entzog ~2,1 Mio. USD vor vollständigem LP-Exit.

~1,3 Mio. $ aus dem aufgegebenen Swerve Finance gefährdet: Ein Angreifer nutzte schwache Governance, um einen Vorschlag zur Mittel-Beschlagnahme durchzusetzen.

Beim Start der Shibarium-Bridge waren ~2,6 Mio. $ ETH durch einen falsch konfigurierten Vertrag und Traffic-Überlastung blockiert oder unzugänglich.

2,1 Mio. $ aus Zunami Protocol abgezogen: zETH- und UZD-Preise aus manipulierbaren Curve-Pools wurden von einem Flash-Loan-Angreifer aufgebläht.

Ein fehlerhaftes Reentrancy-Lock in drei Versionen des Vyper-Compilers machte mehrere Curve-Stablepools anfällig für eine klassische Reentrancy-Attacke.

Private-Key-Kompromittierung entzog AlphaPos Hot Wallets auf Tron, Bitcoin und Ethereum 60 Mio. USD. FBI schrieb den Payment-Processor-Bruch Lazarus zu.

Conic Finances ETH-Omnipool hatte Reentrancy-Guards, nahm aber eine Curve-v2-ETH-Adresse an. Ein neues CurveLPOracleV2 entging ihm – 3,2 Mio. USD entzogen.

125 Mio. $ aus Multichain-Bridge-Verträgen abgezogen, einen Monat nach Verhaftung von CEO Zhaojun; Team verlor MPC-Schlüsselzugang, Inside Job vermutet.

800 Tsd. $ aus Sturdy Finance via Balancer-Read-Only-Reentrancy abgezogen, die B-stETH-STABLE-LP-Sicherheit falsch bepreiste. Mittel zurückgegeben.

Lazarus-Operation zielte auf Atomic Wallets Software statt einzelne Seeds, entzog 100 Mio.+ USD von rund 5.500 Nutzern und umging Self-Custody-Garantien.

Tornado Cash DAO wurde gekapert: Angreifer selfdestructte einen Vorschlag und redeployte Schadcode an derselben Adresse — 1,2M Stimmen vs ~70K legitime.

DEUS DAOs dritter Vorfall zog 6,5 Mio. $ über BNB, Arbitrum und Ethereum durch einen Fehler in DEIs burnFrom-/Approval-Logik ab.

Eine Signing-Key-Kompromittierung entzog Bitrues Hot Wallet 23 Mio. USD an ETH, QNT, GALA, SHIB, HOT, MATIC – unter 5% der Börsensalden, vor jedem Stopp.

Ein fehlkonfigurierter Legacy-Yearn-iEarn-Vertrag mit falschem Fulcrum-Token mintete 1,2Q yUSDT und entzog 11 Mio. $ aus Aave v1, bevor jemand es bemerkte.

Fehlende Zugriffsprüfung in Sushis RouteProcessor2-Router ließ Bots 3,3 Mio. $ WETH aus Wallets mit Token-Approvals vor einer Whitehat-Rettung abziehen.

Ein fehlender Health-Check in Eulers donateToReserves-Funktion ließ einen Angreifer eine selbstliquidierbare Position aufbauen und 197 Mio. $ erbeuten.

Dexible-Nutzer verloren 2 Mio. $, nachdem selfSwap mit nutzerseitigen Daten beliebige externe Aufrufe machte und Wallets mit Approvals abzog.

3 Mio. $ aus Orion auf Ethereum und BSC abgezogen, nachdem doSwapThroughOrionPool unvalidierte Pfade ohne Reentrancy-Schutz akzeptierte; Fake-Token nutzte das.