Arbitrum-Hacks in 2024

53 Mio. $ aus einem 3-von-11-Radiant-Multi-Sig abgezogen, nachdem macOS-Malware drei Signierer traf; Safe-UI zeigte saubere Txs, Wallets signierten Upgrades.

DeltaPrime verlor 6 Mio. $ auf Arbitrum durch einen extrahierten Private Key; das Team nutzte Multi-Sig auf Avalanche, nicht auf Arbitrum.

11,6 Mio. $ aus Nutzern mit Infinite Approvals an LI.FI abgezogen: Eine frisch deployte Facet übersprang Validierung und ließ beliebige Aufrufe zu.

1,9 Mio. $ aus Pike Finance abgezogen, nachdem nicht initialisierte Proxy-Verträge einem Angreifer Ownership-Übernahme und CCIP-Asset-Abzug erlaubten.

Hedgey-Finance-Vesting verlor 44,7 Mio. $: Fehlende Parameter-Validierung ließ den Angreifer Kampagnen mit beliebigen Transfer-Approvals im Callback bauen.

WOOFi Swap auf Arbitrum verlor 8,75 Mio. $: WOOs Chainlink-Orakel war nie konfiguriert, sPMM akzeptierte jeden manipulierten Preis.

6,4 Mio. $ aus Seneca-Nutzern abgezogen über unbegrenzte Approvals an den Chamber-Vertrag ohne Pause-Funktion. Angreifer gab 80 % gegen 20 % Bounty zurück.

Orange Finance auf Arbitrum verlor ~844.000 $, nachdem sein Admin-Schlüssel Strategie-Verträge änderte und Uniswap-v3-Positionen abzog.

Gamma Strategies auf Arbitrum verlor 6,1 Mio. $: ein schwacher Deposit-Proxy-Preis-Check ließ Flash-Loan-Deposit zu verzerrtem Kurs und übergroßen Withdraw zu.