Ethereum-Hacks in 2025

Oracle-Upgrade erzeugte 18-vs-8-Dezimal-Diskrepanz in Aevos alten Ribbon-DOV-Vaults; 2,7 Mio. USD wurden entwendet. Aevo schloss die Vaults.

USPD, ein neuerer dezentraler Stablecoin, verlor ~1 Mio. $ durch einen Mint-Fehler, der Minting gegen unzureichende Deckung erlaubte und kurz depegte.

Yearns yETH-Pool mintete 235 Septillionen yETH aus 16 Wei Einzahlung: Liquiditätsentnahme setzte Supply auf null, cached Balances blieben.

Wahrscheinlicher Private-Key-Diebstahl gab Angreifern Kontrolle über GANA Payments BSC-Contract; sie manipulierten Reward-Raten und zogen 3,1 Mio. $ ab.

Access-Control-Lücke und Rundungsfehler in Balancer v2s Invariant-Logik entzogen ~120 Mio. USD aus Stable Pools – der größte DeFi-Exploit von 2025.

SBI Crypto, der Mining-Arm von SBI Holdings, verlor 24 Mio. $ in BTC, ETH, LTC, DOGE und BCH. Erst nach 7 Tagen entdeckte ZachXBT ein Lazarus-Muster.

GriffinAI, ein AI-Agent-Krypto-Projekt, verlor rund 3 Mio. $ durch einen Bridge-/Mint-Fehler, der ungedecktes GAIN minten ließ — Preis kollabierte.

UXLINK, ein Web3-Social-Protokoll, verlor rund 41 Mio. $ nach Kompromittierung der Multi-Sig-Keys und Ausnutzung eines uneingeschränkten delegatecall-Pfads.

Rundungsfehler in Bunni DEXs Withdraw-Funktion entzog 8,4 Mio. USD auf Ethereum und Unichain, nachdem Devs Idle-Balance-Bewegungen falsch einschätzten.

Eine Hot-Wallet-Kompromittierung über 7 Chains entzog BtcTurk 48 Mio. USD, ihr zweiter großer Hack in 14 Monaten. Cold Storage blieb unangetastet.

Angreifer entzogen 44 Mio. USD aus CoinDCXs internem Liquiditätskonto für Partner-Börsenreserven; die Börse absorbierte den Verlust aus dem Treasury.

Angreifer kompromittierten BigONEs Backend und schrieben die Risk-Control-Logik um, sodass jede Abhebung automatisch genehmigt wurde – 27 Mio. USD entzogen.

9,8 Mio. $ aus Resupply in unter 90 Minuten abgezogen, als ein Flash-Kredit über 4.000 $ einen 2 Stunden alten wstUSR-Vault per ERC-4626-Donation ausnutzte.

Über 90 Mio. $ von Irans größter Börse durch Predatory Sparrow entwendet, dann an Anti-IRGC-Adressen verbrannt — Zerstörungs- statt Profit-Hack.

Access-Control-Fehler zog 3,76 Mio. $ aus Nervos' Force Bridge auf Ethereum und BNB Chain ab; die Beute wurde über Tornado Cash und FixedFloat gewaschen.

Angreifer entzog Cork Protocol 12 Mio. USD (3.761 wstETH), indem er einen Markt mit fremder DS schuf und Auth über einen bösartigen Uniswap-v4-Hook umging.

Overflow-Guard-Fehler in Suis größter DEX ließ winzige Liquiditätsposition als gigantisch lesen, 223 Mio. USD entzogen, bevor Validatoren eingriffen.

Zunami Protocol verlor ~500 Tsd. $ in zweitem Vorfall, 2 Jahre nach 2023er Curve-Pool-Exploit, wieder aus manipulierbarer Preis-Ableitung in der Stablecoin-Strategie.

UPCX verlor rund 70 Mio. $ aus seiner Treasury, nachdem ein kompromittierter Admin-Account auf der Open-Source-Payments-Plattform ein bösartiges Upgrade pushte.

355 Tsd. $ (gesamte TVL) aus SIR.trading abgezogen durch Transient-Storage-Missbrauch, der die uniswapV3SwapCallback-Aufruferprüfung fälschte.

8,4 Mio. $ aus Zoth, einem RWA-Restaking-Protokoll, abgezogen: Deployer-Key kompromittiert und bösartiges Proxy-Upgrade gepusht.

Ein Bug im alten Fusion-v1-Resolver erlaubte Calldata-Manipulation und führte zum Diebstahl von 5 Mio. USD aus 1inch Resolver TrustedVolumes.

49,5 Mio. $ aus Infinis Morpho-MEVCapital-USDC-Vault abgezogen — von der Adresse, die den Contract baute und still Admin-Autorität nach dem Launch behielt.

Bösartiges JavaScript in Safe{Wallet}s UI entzog 401.000 ETH (1,46 Mrd. USD) aus Bybit Cold-Wallet-Transfer – der größte Krypto-Diebstahl je.

~73 Mio. $ aus Phemex-Hot-Wallets über 16 Blockchains in koordiniertem Sweep abgezogen — erster großer Börsen-Hack 2025, TTPs konsistent mit Lazarus.

The Idols NFT verlor ~324 Tsd. $, als ein Fehler in der Staking-Belohnungsbuchhaltung wiederholte gewichtete Claims weit über Anspruch hinaus erlaubte.