Smart-Contract-Bug-Angriffe in 2024

11,6 Mio. $ aus Nutzern mit Infinite Approvals an LI.FI abgezogen: Eine frisch deployte Facet übersprang Validierung und ließ beliebige Aufrufe zu.

Ein Fehler in Holographs Operator-Contract ließ einen Angreifer 1 Milliarde HLG-Tokens minten, nominal 14,4 Mio. $ wert. HLG fiel in neun Stunden um 80 %.

Velocores CPMM-Pools auf zkSync und Linea verloren 6,8 Mio. $: Ein Fee-Multiplier-Overflow ließ den Angreifer riesige LP-Supply gegen winzige Auszahlung minten.

Sonne Finance verlor 20 Mio. $ auf Optimism durch eine 'Donation Attack' — ein bekannter Compound-v2-Fork-Exploit in der Lücke zwischen Deploy und Seed.

1,9 Mio. $ aus Pike Finance abgezogen, nachdem nicht initialisierte Proxy-Verträge einem Angreifer Ownership-Übernahme und CCIP-Asset-Abzug erlaubten.

Hedgey-Finance-Vesting verlor 44,7 Mio. $: Fehlende Parameter-Validierung ließ den Angreifer Kampagnen mit beliebigen Transfer-Approvals im Callback bauen.

4,8 Mio. $ aus Super Sushi Samurai auf Blast: Ein Transfer-Bug verdoppelte Sender-Guthaben bei Self-Transfer. Ein Whitehat hatte ihn zuerst entdeckt.

2,1 Mio. $ aus Unizens DEX-Aggregator abgezogen über eine unsichere External-Call-Schwachstelle in einem jüngsten Upgrade, das Nutzer mit Token-Approvals traf.

6,4 Mio. $ aus Seneca-Nutzern abgezogen über unbegrenzte Approvals an den Chamber-Vertrag ohne Pause-Funktion. Angreifer gab 80 % gegen 20 % Bounty zurück.

3,3 Mio. $ aus Socket/Bungee-Nutzern abgezogen über eine unvalidierte SocketGateway-Route, die transferFrom auf Wallets mit unbegrenzten Approvals aufrief.