E-sportsMental health
Crypto
Über uns
infoKontaktenFür Werbekunden
enuarudeptesplfrtrfidanosv
en
EGW-NewsHacker plündern vergessene Smart Contracts: 17 Millionen Dollar in nur 40 Tagen gestohlen
Hacker plündern vergessene Smart Contracts: 17 Millionen Dollar in nur 40 Tagen gestohlen
stascmp
197
Add as a Preferred Source
0
0

Hacker plündern vergessene Smart Contracts: 17 Millionen Dollar in nur 40 Tagen gestohlen

SCAMSCAMDeFiDeFi

Statt neue, gut geschützte Protokolle anzugreifen, attackieren Hacker zunehmend alte, veraltete Smart Contracts, die längst in Vergessenheit geraten sind. In den vergangenen 40 Tagen (vom 7. Mai bis zum 15. Juni 2026) erbeuteten Angreifer fast 17 Millionen US-Dollar aus Verträgen, die zwar als überholt galten, aber weiterhin aktiv in der Blockchain lagen und einen realen wirtschaftlichen Wert besaßen.

Es handelt sich hierbei nicht um eine Reihe von Einzelfällen, sondern um einen klaren, sich abzeichnenden Trend. Veraltete Verträge behalten weiterhin Gelder, Berechtigungen, Genehmigungen oder operative Befugnisse, lange nachdem die Teams deren Wartung oder Überwachung eingestellt haben.

Spezifische Vorfälle der letzten 40 Tage

Hier sind die fünf öffentlich dokumentierten Fälle, die diese Gesamtsumme von ca. 17 Millionen Dollar ausmachen:

TrustedVolumes (Ethereum)

TrustedVolumes, ein Liquiditätsanbieter und Market Maker/Resolver, der von 1inch Fusion genutzt wird, wurde durch eine Sicherheitslücke in seinem benutzerdefinierten RFQ-Swap-Proxy ausgeplündert. Der Angreifer umging eine Autorisierungsbarriere und gelangte auf einen Codeabschnitt, der für einen nicht vertrauenswürdigen Aufrufer niemals erreichbar sein sollte.

Hacker plündern vergessene Smart Contracts: 17 Millionen Dollar in nur 40 Tagen gestohlen 1

Zu den gestohlenen Geldern gehörten WETH, USDT, WBTC und USDC. Die gestohlenen Vermögenswerte wurden später über Tornado Cash und andere Mixer gewaschen. 1inch stellte klar, dass sein Kernprotokoll nicht betroffen war.

Huma Finance V1 Pools (Polygon)

Angreifer nutzten einen Logikfehler im Kreditlebenszyklusmanagement veralteter V1 BaseCreditPool-Verträge aus. Sie führten unautorisierte Auszahlungen durch und entnahmen dabei etwa 82.316 USDC + 19.075 USDC.e.

Hacker plündern vergessene Smart Contracts: 17 Millionen Dollar in nur 40 Tagen gestohlen²

Die Fonds wurden bereits abgewickelt. Huma Finance setzte die betroffenen Verträge umgehend aus, veröffentlichte eine Nachbesprechung und bestätigte, dass das V2-System auf Solana und die Kundengelder auf der aktuellen Plattform nicht betroffen seien.

DxSale V1 Schließfach (BNB-Kette)

Der größte Verlust in diesem Zeitraum. Angreifer plünderten über 1.400 Legacy-Liquiditätspools aus dem alten V1-Locker-Vertrag (eingeführt 2021).

Hacker plündern vergessene Smart Contracts: 17 Millionen Dollar in nur 40 Tagen gestohlen

Der Exploit wurde durch eine frühere Eigentumsübertragung des Schließfachvertrags (269 Tage zuvor) in Kombination mit dem Missbrauch privilegierter Funktionen ermöglicht – der Angreifer reduzierte die Änderungsgebühren auf 1 Wei, setzte die Sperrzeitstempel zurück und führte Stapelabhebungen durch. Die V2+-Schließfächer blieben sicher.

Raydium Legacy AMM V3 (Solana)

Hacker nutzten fünf veraltete Liquiditätspools im alten AMM V3-Programm von Raydium (das 2021 eingestellt wurde) aus. Die Schwachstelle bestand in einer unzureichenden Validierung der LP-Token-Mint-Adressen.

Hacker plündern vergessene Smart Contracts: 17 Millionen Dollar in nur 40 Tagen gestohlen 4

Der Angreifer erstellte eine gefälschte SPL-Token-Prägung, prägte einen gefälschten LP-Token und nutzte die Legacy-Auszahlungsfunktion, um echte Liquidität abzuschöpfen. Raydium bestätigte den Vorfall und sicherte zu, betroffene Nutzer vollständig aus seinen Reserven zu entschädigen. Bestehende Pools und Nutzer waren nicht betroffen.

Aztec Connect (Ethereum)

Zwei separate Angriffe an aufeinanderfolgenden Tagen zielten auf die veralteten Aztec Connect-Verträge (Ablaufdatum 2023) ab. Die Verträge waren unveränderlich, da die Administratorschlüssel bereits aufgegeben worden waren.

Hacker plündern vergessene Smart Contracts: 17 Millionen Dollar in nur 40 Tagen gestohlen 5

Angreifer nutzten eine Schwachstelle in der Logik zur Beweisverifizierung aus (Diskrepanz zwischen der Validierung des ZK-Beweises und den On-Chain-Abwicklungs-/Notfallmechanismen), um gebundenes Kapital abzuschöpfen, das nicht mehr pausiert oder aktualisiert werden konnte. Aztec Labs hatte keine Kontrolle über die Smart Contracts.

Hier ist eine Übersichtstabelle zum schnellen Nachschlagen:

Datum
Protokoll
Kette
Menge
Grundursache
Vertragsstatus
7. Mai
TrustedVolumes
Ethereum
ca. 5,87–6,7 Mio. USD
Autorisierungsumgehung im RFQ-Proxy
Veraltete Infrastruktur
11. Mai
Huma Finance V1
Polygon
~101.000 USD
Logikfehler im Kreditlebenszyklus
Veraltet (wird eingestellt)
27.–29. Mai
DxSale V1 Schließfach
BNB-Kette
~7,3 Mio. USD
Eigentumsübertragung + Missbrauch von Privilegien
Legacy V1 (2021)
10. Juni
Raydium Legacy AMM V3
Solana
~1,34 Mio. USD
Validierungsfehler bei gefälschten LPs
Veraltet seit 2021
14.–15. Juni
Aztec Connect
Ethereum
~2,28 Mio. USD
Diskrepanz bei der Nachweisprüfung
Unveränderlich + Schlüssel aufgegeben

Was Projekte beachten sollten: Ein ordnungsgemäßer Prozess zur Außerbetriebnahme von Smart Contracts

Es reicht nicht aus, lediglich das Frontend zu deaktivieren oder einen Vertrag als „veraltet“ zu kennzeichnen. Ein Vertrag gilt erst dann als endgültig außer Kraft gesetzt, wenn seine Werte, Berechtigungen und Vertrauensannahmen vollständig entfernt wurden.

Folgendes sollte ein ordnungsgemäßer Ruhestandsprozess beinhalten:

  1. Entfernen Sie alle Werte, bevor Sie die Aufmerksamkeit entfernen. Ziehen Sie alle Token, Liquiditätspositionen und Prämien zurück. Geben Sie den Nutzern klare Migrationsanweisungen und Anreize. Kein System sollte außer Betrieb genommen werden, solange es noch Nutzervermögen verwahren oder transferieren kann.
  2. Alle Berechtigungen und Privilegien widerrufen Führen Sie eine vollständige Bestandsaufnahme durch und widerrufen Sie Genehmigungen, Eigentümerrechte, Unterzeichner, Weiterleiter, Verwalter, Router und sämtliche administrativen Berechtigungen. „Wir nutzen diesen Vertrag nicht mehr“ bedeutet nicht, dass er keine Gelder mehr transferieren kann.
  3. Implementieren Sie eine Überwachung für jegliche Aktivitäten („Wiederaufstehungs“-Warnungen). Richten Sie Benachrichtigungen für neue Einzahlungen in bestehende Kontenpools, Genehmigungen für bestehende Nutzer, unerwartete Kontostandsänderungen, Aufrufe inaktiver Funktionen und Aktivitäten über vergessene privilegierte Pfade ein. Halten Sie bestehende Verträge in Bug-Bounty-Programmen und im Sicherheitsmonitoring.
  4. Halten Sie einen klaren Plan für das Szenario „Kein Patch“ bereit. Ist ein Vertrag unveränderlich oder wurden Administratorschlüssel zurückgegeben, kann er nicht pausiert oder aktualisiert werden. In solchen Fällen sollten Anreize für die Migration geschaffen, Risiken klar offengelegt und ein sofort umsetzbarer Notfallplan vorbereitet werden.

Fazit

Der nächste große Verlust im DeFi-Bereich könnte nicht von einer glänzenden neuen Funktion ausgehen. Er könnte vielmehr von einem Vertrag kommen, den ein Team bereits als veraltet bezeichnet, aber dennoch wirtschaftlich weiterhin in der Blockchain belassen hat.

Sicherheitsteams sind mittlerweile sehr gut darin geworden, Produkteinführungen zu überprüfen. Die nächste Disziplin, die die Branche benötigt, ist die Überprüfung von Produktabgängen.

Verpassen Sie keine esport-Nachrichten und Updates! Melde dich an und erhalte eine wöchentliche Zusammenfassung der Artikel!
Anmeldung

Solange die ordnungsgemäße Stilllegung von Verträgen nicht zur Standardpraxis wird, bleiben Altverträge eines der einfachsten und attraktivsten Ziele für Angreifer.

Kommentieren
Hat Ihnen der Artikel gefallen?
0
0
Bitcoin-Miner geraten unter Druck, da die Produktionskosten über den Marktpreis steigen und eine branchenweite Konsolidierung erzwingen.
691
Zurück zu allen

Kommentare

Gibt es noch etwas hinzuzufügen?
Aktuelle Nachrichten
Bitcoin-Miner geraten unter Druck, da die Produktionskosten über den Marktpreis steigen und eine branchenweite Konsolidierung erzwingen.
691
Strategy und Bitmine setzen verstärkt auf Krypto-Einbruch: Fast 240 Millionen Dollar in BTC und ETH gekauft, während der Markt schwächelt
1572
Bitwise warnt, dass Bitcoin um weitere 20% fallen könnte, bevor ein echter Markttiefpunkt erreicht wird
1991
CryptoQuant sagt, dass sich Bitcoin weiterhin in einer aktiven Baissephase befindet
1723
Ähnliche Nachrichten
Die Malware CryptoBandits verbreitet sich über USB-Sticks und stiehlt Kryptowährung von infizierten PCs.
656
Olena Oblamska wurde im Zusammenhang mit dem 340 Millionen Dollar schweren Forsage-Krypto-Ponzi-Fall aus Thailand ausgeliefert.
2700
Hacker saugen über 3 Millionen Dollar von der TAC-Protokoll-Cross-Chain-Brücke zwischen TON und ETH ab
3138
Krypto-Nacht-Skandal: Roaring Kitty gehackt
2769
Massenexodus von LayerZero: KelpDAO und Solv Protocol wandern nach 292 Millionen Dollar rsETH-Hack zu Chainlink ab
3226
Cloudflare entlässt 1.100 Mitarbeiter per E-Mail: "Wir treten in die Ära der KI-Agenten ein." KI-bedingte Entlassungen in der gesamten Tech- und Kryptoindustrie
3320
Skin platforms
Skin Markets
Kopieren von Materialien von der Website ist verboten! © 2013-2022 EGW.news
FREE SUBSCRIPTION ON EXCLUSIVE CONTENT
Receive a selection of the most important and up-to-date news in the industry.
*
*Only important news, no spam.
SUBSCRIBE
LATER