BonkDAO Governance-Übernahme
Ein Angreifer kaufte für rund 4 Mio. USD still BONK, kaperte so die Abstimmung von BonkDAO und drückte einen bösartigen Realms-Vorschlag durch, der rund 20 Mio. USD aus der Schatzkammer abzog.
Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.
Ein Angreifer kaufte für rund 4 Mio. USD still BONK, kaperte so die Abstimmung von BonkDAO und drückte einen bösartigen Realms-Vorschlag durch, der rund 20 Mio. USD aus der Schatzkammer abzog.
Ein Flash-Loan-Angreifer manipulierte die Share-Buchhaltung von Summer.fis Lazy-Summer-USDC-Vault und löste aufgeblähte Assets ein, um etwa 6 Mio. USD auf Ethereum zu erbeuten.
Ein Angreifer entwendete Hinkal rund 820.000 USD in USDC — nahezu die gesamte chainübergreifende TVL — über ungeprüfte 'proofless'-Einzahlungen und wusch die Beute über Tornado Cash und THORChain.
Ein per Flash-Loan finanzierter Angreifer blähte den internen wGOOGLx-Wechselkurs von Edel Finance um das ~78-Fache auf und lieh gegen Schein-Sicherheiten rund 403.000 USD als Bad Debt aus.
Ein kompromittierter Drittanbieter schleuste ein schädliches Skript in Polymarkets Frontend ein und zog per Phishing rund 2,94 Mio. $ in PUSD aus Nutzer-Wallets ab.
Vorhersehbare Zufallswerte in SecondFis Cardano-Wallet-Software ermöglichten den Diebstahl von rund 2,4 Mio. USD in ADA aus 178 Wallets, bis zu 20 Mio. USD weiter gefährdet.
Ein in Taikos öffentlichem GitHub geleakter SGX-Signaturschlüssel erlaubte gefälschte Bridge-Proofs und das Abziehen von rund 1,7 Mio. USD aus L1-Bridge und ERC20Vault auf Ethereum.
Ein Deflations-Burn-Fehler im OLPC-Token erzeugte ein Reserve-Mismatch in einem PancakeSwap-V2-Pool, sodass ein Angreifer LABUBU zu verzerrtem Preis aufkaufte und rund 1,1 Mio. USD abzog.
Ein Counter-MEV-Honeypot brachte Ethereums aktivsten Sandwich-Bot jaredfromsubway.eth dazu, 66 Fake-Token-Verträge freizugeben, und drainte rund 7,5 Mio. USD in WETH, USDC und USDT.
Ein Angreifer prägte einen wertlosen EVIL-Token, um die Buchführung der Concentrated-Liquidity-Pools von mySwap auf Starknet zu verfälschen, und zog rund 305.000 USD an Rest-LP-Mitteln ab.
Ein Fehler in der IBC-Transferlogik erlaubte den Abzug von rund 600.000 USD an abgeschirmten Assets aus Namadas MASP, kurzzeitig durch einen veralteten Indexer verschleiert.
Ein transferFrom mit Nullwert umging die Allowance-Prüfung und löste ein unautorisiertes Reward-Minting in das PancakeSwap-Paar aus, wodurch ein Angreifer rund 378.000 USD aus Little Boy Plus abzog.
Ein Angreifer erbeutete rund 2,16 Mio. USD aus Aztecs abgeschalteter Private Rollup Bridge über eine ungeschützte escapeHatch und gefälschte Proof-Daten — Aztecs zweiter Hack in einer Woche.
Ein fehlendes Return in der _transfer-Funktion des DIP-Tokens ließ einen Angreifer die PancakeSwap-Reserven per skim/sync desynchronisieren und rund 111.000 USD abziehen.
Ein Rundungsfehler in einem veralteten Thetanuts-Vault erlaubte das kostenlose Minten von Option-Tokens und den Abzug von rund 2,1 Mio. USD auf Ethereum; White-Hats holten ca. 2 Mio. zurück.
Ein Angreifer erbeutete rund 2,1 Mio. USD aus der abgeschalteten Aztec-Connect-Bridge, indem er eine lückenhafte Proof-Prüfung ausnutzte und ungedeckte Guthaben abhob.
Ein Angreifer entwendete rund 1,34 Mio. USD aus fünf inaktiven Raydium-AMM-V3-Pools auf Solana, indem er einen gefälschten LP-Token prägte, der die Abhebungsprüfungen des veralteten Programms umging.
Ein fehlerhafter Bridge-Vertrag erlaubte gefälschte IBC-Pakete und ungedeckte saTokens, wodurch rund 4,67 Mio. USD an Axelar-Assets von Secret Network abflossen.
Ein kompromittierter Schlüssel der Humanity Foundation erlaubte das Leeren von Wallets und das Prägen von 100 Mio. H-Token auf BNB Chain — etwa 32 Mio. USD, $H-Kurs fast 90 % eingebrochen.
Ein Angreifer mit TOP-Mehrheit ließ in einer einzigen Transaktion einen Aragon-Vorschlag ausführen, prägte ~10 Mrd. Token und zog 944 WETH aus einem Balancer-V1-Pool ab.
Ein Fehler in der Proof-Validierung von Syscoins Cross-Chain-Bridge erlaubte das Prägen von rund 5 Milliarden SYS — über fünffaches Angebot — im Wert von knapp 10 Mio. USD.
Ein Fehler in der Signaturprüfung des Zodiac Delay Module ließ einen Angreifer Gnosis Pays Zeitsperre umgehen und rund 1,5 Mio. USD aus 5.281 Nutzer-Safes abziehen; Gnosis erstattete 100 %.
Ein Angreifer mit Kontrolle über die Mint-Rechte erzeugte 99 Millionen TSR-Token auf der BNB Chain und stieß sie für rund 2,5 Mio. USD ab, was den Token um fast 99% einbrechen ließ.
Ein Angreifer zog rund 480.000 USD aus dem afiUSD-Vault von AFI Protocol auf Ethereum ab und schleuste die Beute über Tornado Cash; die Ursache blieb zunächst offen.
Ein Angreifer reichte gefälschte Guardian-VAAs bei Alephiums Wormhole-Fork-TokenBridge ein und entwendete in rund sieben Minuten etwa 815.000 US-Dollar an Verwahrwerten von Ethereum und BNB Chain.
Gravity Bridge, die Cosmos-Ethereum-Cross-Chain-Bridge, wurde um rund 5,4 Mio. USD erleichtert, nachdem Angreifer offenbar Validator-Signaturschlüssel kompromittiert und Abhebungen gefälscht hatten.
Ein Angreifer mit Kontrolle über einen alten DxSale-Locker auf BNB Chain entwendete rund 7,3 Mio. USD an BNB aus über 1.400 gesperrten Pools — bei Verdacht auf Insider-Beteiligung.
Eine Confused-Deputy-Schwachstelle im Drittanbieter-Modul SquidRouterModule ermöglichte den Diebstahl von rund 3,8 Mio. USD aus 88 Gnosis-Safe-Wallets auf Ethereum, Base und Arbitrum.
Admin-Key-Kompromittierung auf Echo Protocol minete 1.000 ungedeckte eBTC (~76,7 Mio. $ nominal); realisierter Verlust ~821 Tsd. $ via Tornado Cash.
Verus-Ethereum-Bridge zahlte 11,58 Mio. $ nach einem Verus-Export von 0,02 VRSC aus — keine Value-Binding-Prüfung Quelle/Ziel.
~10,8 Mio. $ aus THORChain-Asgard-Vaults über neun Chains entleert via GG20-TSS-Schwachstelle, ausgenutzt von einem böswilligen Node-Operator.
Der Cross-Chain-Aggregator Transit Finance verlor am 13. Mai 2026 ~1,88 Mio. $ in DAI — ein zweiter Mehr-Millionen-Vorfall nach der Proxy-Approval-Bresche von Oktober 2022.
Wasabi Protocols Perp-Vaults auf 4 Chains verloren 5 Mio. $: Kompromittiertes Deployer-EOA mit alleiniger ADMIN_ROLE erlaubte UUPS-Upgrades.
Volo Protocols Sui-Vaults verloren 3,5 Mio. $ durch Admin-Key-Kompromittierung. Team fror 500 Tsd. $ in 30 Min ein, blockte 2,1-Mio.-$-WBTC-Bridge.
292 Mio. $ ungedecktes rsETH gemintet, nachdem Angreifer KelpDAOs 1-of-1-LayerZero-DVN-Setup ausnutzten; der größte DeFi-Hack 2026, TVL fiel danach 13 Mrd. $.
Rhea Finance auf NEAR verlor 18,4 Mio. $ nach zweitägiger Vorbereitung von Fake-Tokens, 423 Wallets und 8 Ref-Pools, die einen Slippage-Bug ausnutzten.
1 Mrd. gebridgte DOT auf Hyperbridge gemintet, nachdem ein fehlender Bounds-Check in VerifyProof MMR-Proof-Fälschung erlaubte; realer Verlust ~2,5 Mio. $.
DPRK-Social-Engineers brachten Drift-Security-Council-Mitglieder dazu, Durable-Nonce-Txs blind zu signieren, was Admin-Kontrolle übergab und 285 Mio. $ abzog.
Resolv Labs verlor 25 Mio. $, nachdem Angreifer seine AWS-KMS-Schlüssel kompromittierten; 100.000 $ USDC mintete 50 Mio. USR und depeggte 74 % in 17 Minuten.
Solv Protocols BRO-Vault verlor 2,73 Mio. $: Ein ERC-3525-Double-Mint-Bug verwandelte 135 BRO in ~567M BRO in 22 Einzahlungen, getauscht in 38 SolvBTC.
Ein Venus-Protocol-Nutzer wurde gephisht und delegierte Kontokontrolle, ~3,7 Mio. $ verloren. Venus-Verträge wurden nicht kompromittiert.
4,3 Mio. $ aus IoTeX' ioTube-Bridge per Validator-Key-Kompromittierung abgezogen; Angreifer mintete auch 111M CIOTX und 9,3M CCS. Voll-Entschädigung zugesagt.
~1,78 Mio. $ aus Moonwell auf Base abgezogen, nachdem ein neu gelisteter Markt einen Preisfeed mit Dezimal-Mismatch nutzte, was Sicherheiten falsch bewertete.
YieldBlox' Stellar-Pool verlor 10,2 Mio. $: Ein USTRY-USDC-Verkauf zu 501x Marktrate definierte den Reflector-Orakelpreis im stillen 15-Min-Fenster.
Step Finance verlor 261.854 SOL (27 Mio. $) aus Treasury-Wallets an einen 'sophistizierten' Akteur. STEP fiel 96 %; Step und Tochterprojekte schlossen.
4,13 Mio. $ aus Makinas DUSD/USDC-Curve-Pool durch Flash-Kredit-Orakel-Manipulation gegen MachineShareOracle abgezogen; 89 % in einer Woche zurückgeholt.
SagaEVM verlor 7 Mio. $ in 11 Minuten — ein Ethermint-Bug ließ gestaltete Nachrichten die Validierung umgehen und Saga Dollar (D) ohne Deckung minten.
TMXTribe, ein Staking/Rewards-Protokoll, verlor ~1,4 Mio. $, als ein Verteilungs-Buchhaltungsfehler wiederholte Über-Claims und Pool-Drain erlaubte.
Truebit verlor 26,4 Mio. $: Ein Integer-Overflow in TRUs 5 Jahre alter Bonding Curve ließ Angreifer TRU fast gratis prägen und für 8.500 ETH verkaufen.