Summer.fi Lazy Summer Vault-Accounting-Exploit
Ein Flash-Loan-Angreifer manipulierte die Share-Buchhaltung von Summer.fis Lazy-Summer-USDC-Vault und löste aufgeblähte Assets ein, um etwa 6 Mio. USD auf Ethereum zu erbeuten.
Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.
Ein Flash-Loan-Angreifer manipulierte die Share-Buchhaltung von Summer.fis Lazy-Summer-USDC-Vault und löste aufgeblähte Assets ein, um etwa 6 Mio. USD auf Ethereum zu erbeuten.
Ein Angreifer entwendete Hinkal rund 820.000 USD in USDC — nahezu die gesamte chainübergreifende TVL — über ungeprüfte 'proofless'-Einzahlungen und wusch die Beute über Tornado Cash und THORChain.
Ein per Flash-Loan finanzierter Angreifer blähte den internen wGOOGLx-Wechselkurs von Edel Finance um das ~78-Fache auf und lieh gegen Schein-Sicherheiten rund 403.000 USD als Bad Debt aus.
Ein kompromittierter Drittanbieter schleuste ein schädliches Skript in Polymarkets Frontend ein und zog per Phishing rund 2,94 Mio. $ in PUSD aus Nutzer-Wallets ab.
Ein in Taikos öffentlichem GitHub geleakter SGX-Signaturschlüssel erlaubte gefälschte Bridge-Proofs und das Abziehen von rund 1,7 Mio. USD aus L1-Bridge und ERC20Vault auf Ethereum.
Ein Counter-MEV-Honeypot brachte Ethereums aktivsten Sandwich-Bot jaredfromsubway.eth dazu, 66 Fake-Token-Verträge freizugeben, und drainte rund 7,5 Mio. USD in WETH, USDC und USDT.
Ein Angreifer erbeutete rund 2,16 Mio. USD aus Aztecs abgeschalteter Private Rollup Bridge über eine ungeschützte escapeHatch und gefälschte Proof-Daten — Aztecs zweiter Hack in einer Woche.
Ein Rundungsfehler in einem veralteten Thetanuts-Vault erlaubte das kostenlose Minten von Option-Tokens und den Abzug von rund 2,1 Mio. USD auf Ethereum; White-Hats holten ca. 2 Mio. zurück.
Ein Angreifer erbeutete rund 2,1 Mio. USD aus der abgeschalteten Aztec-Connect-Bridge, indem er eine lückenhafte Proof-Prüfung ausnutzte und ungedeckte Guthaben abhob.
Ein fehlerhafter Bridge-Vertrag erlaubte gefälschte IBC-Pakete und ungedeckte saTokens, wodurch rund 4,67 Mio. USD an Axelar-Assets von Secret Network abflossen.
Ein kompromittierter Schlüssel der Humanity Foundation erlaubte das Leeren von Wallets und das Prägen von 100 Mio. H-Token auf BNB Chain — etwa 32 Mio. USD, $H-Kurs fast 90 % eingebrochen.
Ein Angreifer mit TOP-Mehrheit ließ in einer einzigen Transaktion einen Aragon-Vorschlag ausführen, prägte ~10 Mrd. Token und zog 944 WETH aus einem Balancer-V1-Pool ab.
Ein Angreifer zog rund 480.000 USD aus dem afiUSD-Vault von AFI Protocol auf Ethereum ab und schleuste die Beute über Tornado Cash; die Ursache blieb zunächst offen.
Ein Angreifer reichte gefälschte Guardian-VAAs bei Alephiums Wormhole-Fork-TokenBridge ein und entwendete in rund sieben Minuten etwa 815.000 US-Dollar an Verwahrwerten von Ethereum und BNB Chain.
Gravity Bridge, die Cosmos-Ethereum-Cross-Chain-Bridge, wurde um rund 5,4 Mio. USD erleichtert, nachdem Angreifer offenbar Validator-Signaturschlüssel kompromittiert und Abhebungen gefälscht hatten.
Eine Confused-Deputy-Schwachstelle im Drittanbieter-Modul SquidRouterModule ermöglichte den Diebstahl von rund 3,8 Mio. USD aus 88 Gnosis-Safe-Wallets auf Ethereum, Base und Arbitrum.
Admin-Key-Kompromittierung auf Echo Protocol minete 1.000 ungedeckte eBTC (~76,7 Mio. $ nominal); realisierter Verlust ~821 Tsd. $ via Tornado Cash.
Verus-Ethereum-Bridge zahlte 11,58 Mio. $ nach einem Verus-Export von 0,02 VRSC aus — keine Value-Binding-Prüfung Quelle/Ziel.
~10,8 Mio. $ aus THORChain-Asgard-Vaults über neun Chains entleert via GG20-TSS-Schwachstelle, ausgenutzt von einem böswilligen Node-Operator.
Der Cross-Chain-Aggregator Transit Finance verlor am 13. Mai 2026 ~1,88 Mio. $ in DAI — ein zweiter Mehr-Millionen-Vorfall nach der Proxy-Approval-Bresche von Oktober 2022.
Wasabi Protocols Perp-Vaults auf 4 Chains verloren 5 Mio. $: Kompromittiertes Deployer-EOA mit alleiniger ADMIN_ROLE erlaubte UUPS-Upgrades.
292 Mio. $ ungedecktes rsETH gemintet, nachdem Angreifer KelpDAOs 1-of-1-LayerZero-DVN-Setup ausnutzten; der größte DeFi-Hack 2026, TVL fiel danach 13 Mrd. $.
1 Mrd. gebridgte DOT auf Hyperbridge gemintet, nachdem ein fehlender Bounds-Check in VerifyProof MMR-Proof-Fälschung erlaubte; realer Verlust ~2,5 Mio. $.
Resolv Labs verlor 25 Mio. $, nachdem Angreifer seine AWS-KMS-Schlüssel kompromittierten; 100.000 $ USDC mintete 50 Mio. USR und depeggte 74 % in 17 Minuten.
Solv Protocols BRO-Vault verlor 2,73 Mio. $: Ein ERC-3525-Double-Mint-Bug verwandelte 135 BRO in ~567M BRO in 22 Einzahlungen, getauscht in 38 SolvBTC.
4,3 Mio. $ aus IoTeX' ioTube-Bridge per Validator-Key-Kompromittierung abgezogen; Angreifer mintete auch 111M CIOTX und 9,3M CCS. Voll-Entschädigung zugesagt.
4,13 Mio. $ aus Makinas DUSD/USDC-Curve-Pool durch Flash-Kredit-Orakel-Manipulation gegen MachineShareOracle abgezogen; 89 % in einer Woche zurückgeholt.
SagaEVM verlor 7 Mio. $ in 11 Minuten — ein Ethermint-Bug ließ gestaltete Nachrichten die Validierung umgehen und Saga Dollar (D) ohne Deckung minten.
Truebit verlor 26,4 Mio. $: Ein Integer-Overflow in TRUs 5 Jahre alter Bonding Curve ließ Angreifer TRU fast gratis prägen und für 8.500 ETH verkaufen.