Drain des Privacy-Protokolls Hinkal
Ein Angreifer entwendete Hinkal rund 820.000 USD in USDC — nahezu die gesamte chainübergreifende TVL — über ungeprüfte 'proofless'-Einzahlungen und wusch die Beute über Tornado Cash und THORChain.
Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.
Ein Angreifer entwendete Hinkal rund 820.000 USD in USDC — nahezu die gesamte chainübergreifende TVL — über ungeprüfte 'proofless'-Einzahlungen und wusch die Beute über Tornado Cash und THORChain.
Ein Deflations-Burn-Fehler im OLPC-Token erzeugte ein Reserve-Mismatch in einem PancakeSwap-V2-Pool, sodass ein Angreifer LABUBU zu verzerrtem Preis aufkaufte und rund 1,1 Mio. USD abzog.
Ein Angreifer prägte einen wertlosen EVIL-Token, um die Buchführung der Concentrated-Liquidity-Pools von mySwap auf Starknet zu verfälschen, und zog rund 305.000 USD an Rest-LP-Mitteln ab.
Ein Fehler in der IBC-Transferlogik erlaubte den Abzug von rund 600.000 USD an abgeschirmten Assets aus Namadas MASP, kurzzeitig durch einen veralteten Indexer verschleiert.
Ein transferFrom mit Nullwert umging die Allowance-Prüfung und löste ein unautorisiertes Reward-Minting in das PancakeSwap-Paar aus, wodurch ein Angreifer rund 378.000 USD aus Little Boy Plus abzog.
Ein Angreifer erbeutete rund 2,16 Mio. USD aus Aztecs abgeschalteter Private Rollup Bridge über eine ungeschützte escapeHatch und gefälschte Proof-Daten — Aztecs zweiter Hack in einer Woche.
Ein fehlendes Return in der _transfer-Funktion des DIP-Tokens ließ einen Angreifer die PancakeSwap-Reserven per skim/sync desynchronisieren und rund 111.000 USD abziehen.
Ein Rundungsfehler in einem veralteten Thetanuts-Vault erlaubte das kostenlose Minten von Option-Tokens und den Abzug von rund 2,1 Mio. USD auf Ethereum; White-Hats holten ca. 2 Mio. zurück.
Ein Angreifer erbeutete rund 2,1 Mio. USD aus der abgeschalteten Aztec-Connect-Bridge, indem er eine lückenhafte Proof-Prüfung ausnutzte und ungedeckte Guthaben abhob.
Ein Angreifer entwendete rund 1,34 Mio. USD aus fünf inaktiven Raydium-AMM-V3-Pools auf Solana, indem er einen gefälschten LP-Token prägte, der die Abhebungsprüfungen des veralteten Programms umging.
Ein Fehler in der Signaturprüfung des Zodiac Delay Module ließ einen Angreifer Gnosis Pays Zeitsperre umgehen und rund 1,5 Mio. USD aus 5.281 Nutzer-Safes abziehen; Gnosis erstattete 100 %.
Eine Confused-Deputy-Schwachstelle im Drittanbieter-Modul SquidRouterModule ermöglichte den Diebstahl von rund 3,8 Mio. USD aus 88 Gnosis-Safe-Wallets auf Ethereum, Base und Arbitrum.
Der Cross-Chain-Aggregator Transit Finance verlor am 13. Mai 2026 ~1,88 Mio. $ in DAI — ein zweiter Mehr-Millionen-Vorfall nach der Proxy-Approval-Bresche von Oktober 2022.
Rhea Finance auf NEAR verlor 18,4 Mio. $ nach zweitägiger Vorbereitung von Fake-Tokens, 423 Wallets und 8 Ref-Pools, die einen Slippage-Bug ausnutzten.
Solv Protocols BRO-Vault verlor 2,73 Mio. $: Ein ERC-3525-Double-Mint-Bug verwandelte 135 BRO in ~567M BRO in 22 Einzahlungen, getauscht in 38 SolvBTC.
SagaEVM verlor 7 Mio. $ in 11 Minuten — ein Ethermint-Bug ließ gestaltete Nachrichten die Validierung umgehen und Saga Dollar (D) ohne Deckung minten.
TMXTribe, ein Staking/Rewards-Protokoll, verlor ~1,4 Mio. $, als ein Verteilungs-Buchhaltungsfehler wiederholte Über-Claims und Pool-Drain erlaubte.
Truebit verlor 26,4 Mio. $: Ein Integer-Overflow in TRUs 5 Jahre alter Bonding Curve ließ Angreifer TRU fast gratis prägen und für 8.500 ETH verkaufen.