2025Das Jahr in Brüchen

Oracle-Upgrade erzeugte 18-vs-8-Dezimal-Diskrepanz in Aevos alten Ribbon-DOV-Vaults; 2,7 Mio. USD wurden entwendet. Aevo schloss die Vaults.

USPD, ein neuerer dezentraler Stablecoin, verlor ~1 Mio. $ durch einen Mint-Fehler, der Minting gegen unzureichende Deckung erlaubte und kurz depegte.

Yearns yETH-Pool mintete 235 Septillionen yETH aus 16 Wei Einzahlung: Liquiditätsentnahme setzte Supply auf null, cached Balances blieben.

Wahrscheinlicher Private-Key-Diebstahl gab Angreifern Kontrolle über GANA Payments BSC-Contract; sie manipulierten Reward-Raten und zogen 3,1 Mio. $ ab.

Access-Control-Lücke und Rundungsfehler in Balancer v2s Invariant-Logik entzogen ~120 Mio. USD aus Stable Pools – der größte DeFi-Exploit von 2025.

SBI Crypto, der Mining-Arm von SBI Holdings, verlor 24 Mio. $ in BTC, ETH, LTC, DOGE und BCH. Erst nach 7 Tagen entdeckte ZachXBT ein Lazarus-Muster.

GriffinAI, ein AI-Agent-Krypto-Projekt, verlor rund 3 Mio. $ durch einen Bridge-/Mint-Fehler, der ungedecktes GAIN minten ließ — Preis kollabierte.

UXLINK, ein Web3-Social-Protokoll, verlor rund 41 Mio. $ nach Kompromittierung der Multi-Sig-Keys und Ausnutzung eines uneingeschränkten delegatecall-Pfads.

~2 Mio. $ rug-pulled von New Gold Protocol, einem 'goldgedeckten' BNB-Chain-Yield-Projekt; privilegierte Autorität leerte Einzahlungen vor Verschwinden.

SwissBorgs SOL Earn verlor 41,5 Mio. $ (193.000 SOL) durch eine kompromittierte API bei Kiln. Nicht SwissBorg, sondern der Drittanbieter wurde gehackt.

Rundungsfehler in Bunni DEXs Withdraw-Funktion entzog 8,4 Mio. USD auf Ethereum und Unichain, nachdem Devs Idle-Balance-Bewegungen falsch einschätzten.

Odin.fun, ein Bitcoin-Memecoin-Launchpad, verlor ~7 Mio. $ als Angreifer Bonding-Curve-Liquiditätsbuchhaltung manipulierten, um BTC-Pools zu leeren.

Eine Hot-Wallet-Kompromittierung über 7 Chains entzog BtcTurk 48 Mio. USD, ihr zweiter großer Hack in 14 Monaten. Cold Storage blieb unangetastet.

Fehler in der Fee/Reward-Verteilung erlaubte wiederholte Wertentnahme aus BetterBanks PulseChain-Pools – 5 Mio. USD entzogen, später teilweise zurück.

Fehler in Credix Finances Credit-Token-Mint-Logik auf BNB Chain ließ Angreifer fabrizierte Positionen prägen und einlösen, entzog 4,5 Mio. USD aus dem Pool.

Angreifer entzogen 44 Mio. USD aus CoinDCXs internem Liquiditätskonto für Partner-Börsenreserven; die Börse absorbierte den Verlust aus dem Treasury.

Angreifer kompromittierten BigONEs Backend und schrieben die Risk-Control-Logik um, sodass jede Abhebung automatisch genehmigt wurde – 27 Mio. USD entzogen.

Ein reentrancy-naher Fehler in der GLP-Preislogik von GMX v1 ließ einen Angreifer rund 42 Mio. $ abziehen — das meiste binnen Tagen gegen Bounty zurück.

9,8 Mio. $ aus Resupply in unter 90 Minuten abgezogen, als ein Flash-Kredit über 4.000 $ einen 2 Stunden alten wstUSR-Vault per ERC-4626-Donation ausnutzte.

Über 90 Mio. $ von Irans größter Börse durch Predatory Sparrow entwendet, dann an Anti-IRGC-Adressen verbrannt — Zerstörungs- statt Profit-Hack.

Eine Schwäche der Self-Listing-Verifikation entzog ALEX Protocol auf Stacks 8,37 Mio. USD (bis 16,2 Mio. mit ALEX) – zweiter Vorfall in 13 Monaten.

Access-Control-Fehler zog 3,76 Mio. $ aus Nervos' Force Bridge auf Ethereum und BNB Chain ab; die Beute wurde über Tornado Cash und FixedFloat gewaschen.

Angreifer entzog Cork Protocol 12 Mio. USD (3.761 wstETH), indem er einen Markt mit fremder DS schuf und Auth über einen bösartigen Uniswap-v4-Hook umging.

Overflow-Guard-Fehler in Suis größter DEX ließ winzige Liquiditätsposition als gigantisch lesen, 223 Mio. USD entzogen, bevor Validatoren eingriffen.

Zunami Protocol verlor ~500 Tsd. $ in zweitem Vorfall, 2 Jahre nach 2023er Curve-Pool-Exploit, wieder aus manipulierbarer Preis-Ableitung in der Stablecoin-Strategie.

2,15 Mio. $ aus MobiusDAO auf BNB Chain abgezogen — doppelte 10^18-Skalierung erlaubte 9,73 Billiarden MBU aus 0,01 BNB; via Tornado Cash gewaschen.

Solanas Loopscale verlor 5,8 Mio. $ 16 Tage nach Start durch RateX-PT-Token-Orakel-Manipulation. Alle Mittel gegen 10 % Belohnung zurückgegeben.

7,5 Mio. $ aus KiloEX-Perps auf Base, opBNB und BSC abgezogen: MinimalForwarder übersprang Signatur-Checks; Positionen bei 100 $ auf, bei 10.000 $ geschlossen.

UPCX verlor rund 70 Mio. $ aus seiner Treasury, nachdem ein kompromittierter Admin-Account auf der Open-Source-Payments-Plattform ein bösartiges Upgrade pushte.

355 Tsd. $ (gesamte TVL) aus SIR.trading abgezogen durch Transient-Storage-Missbrauch, der die uniswapV3SwapCallback-Aufruferprüfung fälschte.

Angreifer entzog Abracadabras GM Cauldrons 13 Mio. USD (6.260 ETH) durch fehlschlagende GMX-Einlage, Selbst-Liquidation und erneutes Leihen der Sicherheit.

8,4 Mio. $ aus Zoth, einem RWA-Restaking-Protokoll, abgezogen: Deployer-Key kompromittiert und bösartiges Proxy-Upgrade gepusht.

Ein Bug im alten Fusion-v1-Resolver erlaubte Calldata-Manipulation und führte zum Diebstahl von 5 Mio. USD aus 1inch Resolver TrustedVolumes.

49,5 Mio. $ aus Infinis Morpho-MEVCapital-USDC-Vault abgezogen — von der Adresse, die den Contract baute und still Admin-Autorität nach dem Launch behielt.

ZeroLend verlor ~371 Tsd. $ durch klassischen Empty-Market-Share-Inflation-Donation-Angriff auf einen frisch gelisteten Markt ohne schützende Anfangseinzahlung.

Bösartiges JavaScript in Safe{Wallet}s UI entzog 401.000 ETH (1,46 Mrd. USD) aus Bybit Cold-Wallet-Transfer – der größte Krypto-Diebstahl je.

9,5 Mio. $ aus zkLend auf Starknet abgezogen über einen Präzisions-Rounding-Bug in safeMath; wiederholtes Rounding blähte raw_balance bis Pools leer.

8,6 Mio. $ aus Ionic Money auf Mode extrahiert, nachdem Angreifer wochenlang Lombard Finance imitierten, ein Fake-LBTC listen ließen und dagegen liehen.

~73 Mio. $ aus Phemex-Hot-Wallets über 16 Blockchains in koordiniertem Sweep abgezogen — erster großer Börsen-Hack 2025, TTPs konsistent mit Lazarus.

The Idols NFT verlor ~324 Tsd. $, als ein Fehler in der Staking-Belohnungsbuchhaltung wiederholte gewichtete Claims weit über Anspruch hinaus erlaubte.

Moby Trade, ein Arbitrum-Options-Protokoll, verlor ~1 Mio. $ nach Kompromiss eines privilegierten Schlüssels. SEAL-White-Hats begrenzten den Schaden.