Ethereum-Hacks in 2024

13,7 Mio. $ aus M2-Exchange-Hot-Wallets (UAE) über BTC, ETH und Solana abgezogen; identifiziert, eingedämmt und Kundengelder in nur 16 Minuten erstattet.

Tapioca DAO verlor 4,65 Mio. $: Discord-Mitglied wurde überredet, Hardware-Wallet zu verbinden. Angreifer übernahm TAP/USDO. 2,7 Mio. $ zurück.

DPRK-artige Multi-Chain-Kompromittierung entzog 52 Mio. USD aus BingX-Hot-Wallets auf Ethereum, BNB Chain, Avalanche, Optimism und Polygon.

Telegram-Message-Oracle-Fehler ließ Angreifer 3 Mio. USD von 11 Banana-Gun-Nutzern über manuelle Transfers entziehen. Team entschädigte aus Treasury.

Rund 20 Mio. $ aus Indonesiens größter Kryptobörse über mehrere Chains gefegt in einer koordinierten Hot-Wallet-Kompromittierung der 2024er Breach-Serie.

~27 Mio. $ aus Penpie abgezogen, nachdem eine Reentrancy-Lücke in Pendles Plugin-Integration einen bösartigen Markt und Reward-Abzug in einer Tx ermöglichte.

Ein Krypto-Wal verlor 55,47 Mio. $ DAI nach Signatur einer Transaktion auf einer Phishing-Kopie der DeFi-Saver-Seite via Inferno Drainer.

Ein White-Hat-MEV-Bot zog 12 Mio. $ aus Ronins Bridge durch einen Dead-Code-Init-Fehler ab. Alles für 500.000 $ Belohnung zurückgegeben.

WazirX verlor 234,9 Mio. $ aus einer 4-of-6 Gnosis Safe bei Liminal: Angreifer nutzten Diskrepanz zwischen Liminal-UI und signierter Calldata aus.

11,6 Mio. $ aus Nutzern mit Infinite Approvals an LI.FI abgezogen: Eine frisch deployte Facet übersprang Validierung und ließ beliebige Aufrufe zu.

~55 Mio. USD aus BtcTurks Hot Wallets entzogen, Binance fror etwa 5,3 Mio. USD ein – größter Türkei-Börsen-Bruch bisher.

Ein Fehler in Holographs Operator-Contract ließ einen Angreifer 1 Milliarde HLG-Tokens minten, nominal 14,4 Mio. $ wert. HLG fiel in neun Stunden um 80 %.

UwULend verlor 19,4 Mio. $: Angreifer manipulierte 5 von 11 sUSDe-Orakeln via Curve-Swaps, borgte bei 0,99 $ und liquidierte bei 1,03 $. 3,7-Mio.-$-Folge-Hit.

22 Mio. $ (158 BTC, 2.161 ETH, plus LTC/BCH) aus Lykke abgezogen durch Private-Key-Kompromiss, den die UK-Börse vertuschen wollte; Lazarus zugeschrieben.

Angreifer übernahm dormante MINTER-Rolle, mintete 5 Mrd. GALA (216 Mio. $) und verkaufte 21,8 Mio. $, bevor er geblacklistet wurde; 4,4 Mrd. blieben gesperrt.

1,9 Mio. $ aus Pike Finance abgezogen, nachdem nicht initialisierte Proxy-Verträge einem Angreifer Ownership-Übernahme und CCIP-Asset-Abzug erlaubten.

ZKasino nahm 10.515 ETH (33 Mio. $) von 8.000+ Nutzern auf 1:1-Versprechen, konvertierte zu ZKAS, stakte 15 Monate auf Lido. Gründer verhaftet.

Hedgey-Finance-Vesting verlor 44,7 Mio. $: Fehlende Parameter-Validierung ließ den Angreifer Kampagnen mit beliebigen Transfer-Approvals im Callback bauen.

11 Mio. $ aus Prismas Trove-Migrations-Helper abgezogen, nachdem der Angreifer migrate() umging und flashloan() direkt aufrief; forderte Entschuldigung.

Angreifer kaufte einen nominalen CGT-Anteil, nutzte einen MakerDAO-Fork-Fehler aus, um Stimmrecht zu verstärken, und prägte 1 Mrd. CGT (~16 Mio. USD).

2,1 Mio. $ aus Unizens DEX-Aggregator abgezogen über eine unsichere External-Call-Schwachstelle in einem jüngsten Upgrade, das Nutzer mit Token-Approvals traf.

6,4 Mio. $ aus Seneca-Nutzern abgezogen über unbegrenzte Approvals an den Chamber-Vertrag ohne Pause-Funktion. Angreifer gab 80 % gegen 20 % Bounty zurück.

Gestohlener Admin-Schlüssel erlaubte Selbst-Hinzufügung als Minter und 1,79 Mrd. PLA — nominell 290 Mio. $, nur 32 Mio. ausgezahlt.

Ein Rundungsfehler in der Schuldverwaltung von Abracadabra Moneys Cauldron erlaubte 6,5 Mio. USD Diebstahl durch Tilgung fremder Schulden.

3,3 Mio. $ aus Socket/Bungee-Nutzern abgezogen über eine unvalidierte SocketGateway-Route, die transferFrom auf Wallets mit unbegrenzten Approvals aufrief.

~82 Mio. $ aus Orbit Chains Cross-Chain-Bridge an Silvester abgezogen, nachdem sieben von zehn Multi-Sig-Signierern kompromittiert wurden.