2024Das Jahr in Brüchen

Reentrancy im Withdraw-Pfad von Clober DEXs Rebalancer auf Base ließ Angreifer vor LP-Settlement re-entrieren – 500K USD an Überschuss entzogen.

8,7 Mio. $ aus Polter Finance auf Fantom abgezogen, nachdem ein Flash-Kredit das SpookySwap-BOO-Orakel auf 1,37 Billionen $ aufblähte. Polter schloss.

13,7 Mio. $ aus M2-Exchange-Hot-Wallets (UAE) über BTC, ETH und Solana abgezogen; identifiziert, eingedämmt und Kundengelder in nur 16 Minuten erstattet.

Tapioca DAO verlor 4,65 Mio. $: Discord-Mitglied wurde überredet, Hardware-Wallet zu verbinden. Angreifer übernahm TAP/USDO. 2,7 Mio. $ zurück.

53 Mio. $ aus einem 3-von-11-Radiant-Multi-Sig abgezogen, nachdem macOS-Malware drei Signierer traf; Safe-UI zeigte saubere Txs, Wallets signierten Upgrades.

DPRK-artige Multi-Chain-Kompromittierung entzog 52 Mio. USD aus BingX-Hot-Wallets auf Ethereum, BNB Chain, Avalanche, Optimism und Polygon.

Telegram-Message-Oracle-Fehler ließ Angreifer 3 Mio. USD von 11 Banana-Gun-Nutzern über manuelle Transfers entziehen. Team entschädigte aus Treasury.

DeltaPrime verlor 6 Mio. $ auf Arbitrum durch einen extrahierten Private Key; das Team nutzte Multi-Sig auf Avalanche, nicht auf Arbitrum.

Rund 20 Mio. $ aus Indonesiens größter Kryptobörse über mehrere Chains gefegt in einer koordinierten Hot-Wallet-Kompromittierung der 2024er Breach-Serie.

~27 Mio. $ aus Penpie abgezogen, nachdem eine Reentrancy-Lücke in Pendles Plugin-Integration einen bösartigen Markt und Reward-Abzug in einer Tx ermöglichte.

Ein Krypto-Wal verlor 55,47 Mio. $ DAI nach Signatur einer Transaktion auf einer Phishing-Kopie der DeFi-Saver-Seite via Inferno Drainer.

Ein White-Hat-MEV-Bot zog 12 Mio. $ aus Ronins Bridge durch einen Dead-Code-Init-Fehler ab. Alles für 500.000 $ Belohnung zurückgegeben.

Angreifer entzog Astroport auf Terra 6,4 Mio. USD über eine im April gepatchte und im Juni-Upgrade wieder eingeführte IBC-Hooks-Reentrancy. ASTRO fiel 60%.

WazirX verlor 234,9 Mio. $ aus einer 4-of-6 Gnosis Safe bei Liminal: Angreifer nutzten Diskrepanz zwischen Liminal-UI und signierter Calldata aus.

11,6 Mio. $ aus Nutzern mit Infinite Approvals an LI.FI abgezogen: Eine frisch deployte Facet übersprang Validierung und ließ beliebige Aufrufe zu.

Bösartiges PyPI-Paket (bittensor 6.12.2) exfiltrierte entschlüsselte Coldkeys, ~32.000 TAO (8 Mio. USD) gestohlen; Opentensor sperrte in 35 Minuten.

~55 Mio. USD aus BtcTurks Hot Wallets entzogen, Binance fror etwa 5,3 Mio. USD ein – größter Türkei-Börsen-Bruch bisher.

Ein Fehler in Holographs Operator-Contract ließ einen Angreifer 1 Milliarde HLG-Tokens minten, nominal 14,4 Mio. $ wert. HLG fiel in neun Stunden um 80 %.

UwULend verlor 19,4 Mio. $: Angreifer manipulierte 5 von 11 sUSDe-Orakeln via Curve-Swaps, borgte bei 0,99 $ und liquidierte bei 1,03 $. 3,7-Mio.-$-Folge-Hit.

22 Mio. $ (158 BTC, 2.161 ETH, plus LTC/BCH) aus Lykke abgezogen durch Private-Key-Kompromiss, den die UK-Börse vertuschen wollte; Lazarus zugeschrieben.

Velocores CPMM-Pools auf zkSync und Linea verloren 6,8 Mio. $: Ein Fee-Multiplier-Overflow ließ den Angreifer riesige LP-Supply gegen winzige Auszahlung minten.

DPRK-Akteure kompromittierten einen Entwickler beim Wallet-Anbieter Ginco per Fake-LinkedIn-Angebot und zogen 4.502,9 BTC (305 Mio. $) von DMM Bitcoin ab.

Angreifer übernahm dormante MINTER-Rolle, mintete 5 Mrd. GALA (216 Mio. $) und verkaufte 21,8 Mio. $, bevor er geblacklistet wurde; 4,4 Mrd. blieben gesperrt.

DPRKs Lazarus entzog ALEX Labs Stacks-Bridge 4,3 Mio. USD über eine Lücke in der Verifikationslogik; nachverfolgt über On-Chain-Wäsche.

Sonne Finance verlor 20 Mio. $ auf Optimism durch eine 'Donation Attack' — ein bekannter Compound-v2-Fork-Exploit in der Lücke zwischen Deploy und Seed.

1,9 Mio. $ aus Pike Finance abgezogen, nachdem nicht initialisierte Proxy-Verträge einem Angreifer Ownership-Übernahme und CCIP-Asset-Abzug erlaubten.

ZKasino nahm 10.515 ETH (33 Mio. $) von 8.000+ Nutzern auf 1:1-Versprechen, konvertierte zu ZKAS, stakte 15 Monate auf Lido. Gründer verhaftet.

Hedgey-Finance-Vesting verlor 44,7 Mio. $: Fehlende Parameter-Validierung ließ den Angreifer Kampagnen mit beliebigen Transfer-Approvals im Callback bauen.

Grand Base, ein RWA-Projekt auf Base, verlor 2 Mio. $ durch kompromittierten Deployer-Key; Angreifer mintete unbegrenzt GB und leerte den Pool.

11 Mio. $ aus Prismas Trove-Migrations-Helper abgezogen, nachdem der Angreifer migrate() umging und flashloan() direkt aufrief; forderte Entschuldigung.

Blast-NFT-Spiel Munchables verlor 17.413 ETH (62,8 Mio. $) an einen seiner Entwickler, einen mutmaßlichen nordkoreanischen Agenten. Alle Mittel zurückgegeben.

Angreifer kaufte einen nominalen CGT-Anteil, nutzte einen MakerDAO-Fork-Fehler aus, um Stimmrecht zu verstärken, und prägte 1 Mrd. CGT (~16 Mio. USD).

4,8 Mio. $ aus Super Sushi Samurai auf Blast: Ein Transfer-Bug verdoppelte Sender-Guthaben bei Self-Transfer. Ein Whitehat hatte ihn zuerst entdeckt.

2,1 Mio. $ aus Unizens DEX-Aggregator abgezogen über eine unsichere External-Call-Schwachstelle in einem jüngsten Upgrade, das Nutzer mit Token-Approvals traf.

WOOFi Swap auf Arbitrum verlor 8,75 Mio. $: WOOs Chainlink-Orakel war nie konfiguriert, sPMM akzeptierte jeden manipulierten Preis.

6,4 Mio. $ aus Seneca-Nutzern abgezogen über unbegrenzte Approvals an den Chamber-Vertrag ohne Pause-Funktion. Angreifer gab 80 % gegen 20 % Bounty zurück.

Gestohlener Admin-Schlüssel erlaubte Selbst-Hinzufügung als Minter und 1,79 Mrd. PLA — nominell 290 Mio. $, nur 32 Mio. ausgezahlt.

Ein Rundungsfehler in der Schuldverwaltung von Abracadabra Moneys Cauldron erlaubte 6,5 Mio. USD Diebstahl durch Tilgung fremder Schulden.

Orange Finance auf Arbitrum verlor ~844.000 $, nachdem sein Admin-Schlüssel Strategie-Verträge änderte und Uniswap-v3-Positionen abzog.

3,3 Mio. $ aus Socket/Bungee-Nutzern abgezogen über eine unvalidierte SocketGateway-Route, die transferFrom auf Wallets mit unbegrenzten Approvals aufrief.

Gamma Strategies auf Arbitrum verlor 6,1 Mio. $: ein schwacher Deposit-Proxy-Preis-Check ließ Flash-Loan-Deposit zu verzerrtem Kurs und übergroßen Withdraw zu.

~82 Mio. $ aus Orbit Chains Cross-Chain-Bridge an Silvester abgezogen, nachdem sieben von zehn Multi-Sig-Signierern kompromittiert wurden.