2026Das Jahr in Brüchen

Wasabi Protocols Perp-Vaults auf 4 Chains verloren 5 Mio. $: Kompromittiertes Deployer-EOA mit alleiniger ADMIN_ROLE erlaubte UUPS-Upgrades.

Volo Protocols Sui-Vaults verloren 3,5 Mio. $ durch Admin-Key-Kompromittierung. Team fror 500 Tsd. $ in 30 Min ein, blockte 2,1-Mio.-$-WBTC-Bridge.

292 Mio. $ ungedecktes rsETH gemintet, nachdem Angreifer KelpDAOs 1-of-1-LayerZero-DVN-Setup ausnutzten; der größte DeFi-Hack 2026, TVL fiel danach 13 Mrd. $.

Rhea Finance auf NEAR verlor 18,4 Mio. $ nach zweitägiger Vorbereitung von Fake-Tokens, 423 Wallets und 8 Ref-Pools, die einen Slippage-Bug ausnutzten.

1 Mrd. gebridgte DOT auf Hyperbridge gemintet, nachdem ein fehlender Bounds-Check in VerifyProof MMR-Proof-Fälschung erlaubte; realer Verlust ~2,5 Mio. $.

DPRK-Social-Engineers brachten Drift-Security-Council-Mitglieder dazu, Durable-Nonce-Txs blind zu signieren, was Admin-Kontrolle übergab und 285 Mio. $ abzog.

Resolv Labs verlor 25 Mio. $, nachdem Angreifer seine AWS-KMS-Schlüssel kompromittierten; 100.000 $ USDC mintete 50 Mio. USR und depeggte 74 % in 17 Minuten.

Solv Protocols BRO-Vault verlor 2,73 Mio. $: Ein ERC-3525-Double-Mint-Bug verwandelte 135 BRO in ~567M BRO in 22 Einzahlungen, getauscht in 38 SolvBTC.

Ein Venus-Protocol-Nutzer wurde gephisht und delegierte Kontokontrolle, ~3,7 Mio. $ verloren. Venus-Verträge wurden nicht kompromittiert.

4,3 Mio. $ aus IoTeX' ioTube-Bridge per Validator-Key-Kompromittierung abgezogen; Angreifer mintete auch 111M CIOTX und 9,3M CCS. Voll-Entschädigung zugesagt.

~1,78 Mio. $ aus Moonwell auf Base abgezogen, nachdem ein neu gelisteter Markt einen Preisfeed mit Dezimal-Mismatch nutzte, was Sicherheiten falsch bewertete.

YieldBlox' Stellar-Pool verlor 10,2 Mio. $: Ein USTRY-USDC-Verkauf zu 501x Marktrate definierte den Reflector-Orakelpreis im stillen 15-Min-Fenster.

Step Finance verlor 261.854 SOL (27 Mio. $) aus Treasury-Wallets an einen 'sophistizierten' Akteur. STEP fiel 96 %; Step und Tochterprojekte schlossen.

4,13 Mio. $ aus Makinas DUSD/USDC-Curve-Pool durch Flash-Kredit-Orakel-Manipulation gegen MachineShareOracle abgezogen; 89 % in einer Woche zurückgeholt.

SagaEVM verlor 7 Mio. $ in 11 Minuten — ein Ethermint-Bug ließ gestaltete Nachrichten die Validierung umgehen und Saga Dollar (D) ohne Deckung minten.

TMXTribe, ein Staking/Rewards-Protokoll, verlor ~1,4 Mio. $, als ein Verteilungs-Buchhaltungsfehler wiederholte Über-Claims und Pool-Drain erlaubte.

Truebit verlor 26,4 Mio. $: Ein Integer-Overflow in TRUs 5 Jahre alter Bonding Curve ließ Angreifer TRU fast gratis prägen und für 8.500 ETH verkaufen.