Back to Blog

Monatlicher Sicherheitsrückblick: Februar 2024

March 1, 2024
5 min read

Sicherheit auf einen Blick 👀

Im Februar 2024 führten DeFi-Exploits zu Verlusten von rund 8 Millionen US-Dollar. Zahlreiche bösartige Vorschläge wurden entdeckt, was eine Warnung für DAOs darstellt. Darüber hinaus ermöglichte eine im Frontend von Tornado Cash gefundene Backdoor einem Angreifer den Diebstahl von über 3200 Ether.

DeFi-Exploits

  • Seneca Exploit Vorfall

Am 29. Februar erlitt Seneca auf Ethereum und Arbitrum einen Exploit, der zu einem Verlust von 6 Millionen US-Dollar führte. Die Hauptursache war ein Problem mit willkürlichen Aufrufen. DeFi-Nutzer sollten regelmäßig ihre Genehmigungen überprüfen und wachsam bleiben! Lesen Sie mehr dazu.

  • Blueberry Exploit Vorfall

Am 23. Februar erlitt Blueberry auf Ethereum einen Exploit, der zu einem Verlust von 1,4 Millionen US-Dollar führte. Die Hauptursache war die Verwendung inkonsistenter Logik für die Tokenpreisnormalisierung, die eine Diskrepanz zwischen den Preisquellen und ihren jeweiligen Normalisierungsmethoden beinhaltete. Der MEV-Bot von coffeebabe_eth nutzte den Exploit erfolgreich aus und gab 367 Ether zurück. Lesen Sie mehr dazu.

  • DeezNutz_404 Exploit Vorfall

Am 22. Februar wurde DeezNutz_404 auf Ethereum ausgenutzt, wobei die Gesamtverluste auf rund 170.000 US-Dollar geschätzt werden. Die Hauptursache war ein Berechnungsproblem, das durch Selbsttransfers verursacht wurde. Die ERC404-Tokenreihe hat mehrere ähnliche Exploits erlebt. Bitte seien Sie bei Investitionen vorsichtig. Lesen Sie mehr dazu.

  • Particle Trade Exploit Vorfall

Am 15. Februar wurde Particle Trade auf Ethereum ausgenutzt, was zu Verlusten von etwa 140.000 US-Dollar führte. Die Hauptursache war nicht verifizierte Benutzereingaben. Lesen Sie mehr dazu.

  • CheckDot Protocol Bösartiger Vorschlag Vorfall

Am 1. Februar reichte ein Angreifer einen bösartigen Vorschlag bei Checkdot Protocol ein, mit potenziellen Verlusten von 120.000 US-Dollar. Nachdem wir das Checkdot-Team informiert hatten, erkannten sie die Schwere der Bedrohung als kritisch an und implementierten eine Korrektur.

🚨 Wir haben im Februar mehrere bösartige Vorschläge entdeckt (nounsbr, LeagueDAO, wearecultdao usw.) und möchten DAOs daran erinnern, sich des Risikos von Angriffen auf Vorschläge bewusst zu sein.

👉 Angriffs-Transaktionen, Ursachen und Proof-of-Concepts der oben genannten Vorfälle finden Sie in unserer Liste der Sicherheitsvorfälle.

Angriffstransaktionen des Seneca Exploit Vorfalls
Angriffstransaktionen des Seneca Exploit Vorfalls

Backdoor

  • Tornado Cash Frontend Backdoor Vorfall

Ein böswilliger Entwickler hat eine Backdoor im Frontend von Tornado Cash platziert, wodurch die Anmeldedaten von Einlegern und mindestens 3200 Ether an Einlagen gestohlen wurden. Nach der Verhängung von Sanktionen gegen Tornado Cash ging das Projekt zur Community-Governance über. Seitdem wurde das Projekt mehrfach Ziel von Angriffen auf Vorschläge.

Blog-Artikel

Die Top Zehn "Beeindruckenden" Sicherheitsvorfälle im Jahr 2023

"Was wir aus der Geschichte lernen, ist, dass wir nicht aus der Geschichte lernen."

In diesem Blog umreißen wir die zehn wichtigsten Sicherheitsvorfälle des Jahres 2023 und ihre Gründe.

Für jeden Sicherheitsvorfall präsentieren wir in den folgenden separaten Blogbeiträgen auch die Ursachen und die Angriffsschritte.

Demystifizierung des Zugriffssteuerungsmechanismus in Puffer Protocol

Neugierig, wie #PufferProtocol seine Gelder schützt? Sehen Sie sich BlockSecs tiefgehenden Einblick in seine Zugriffssteuerungsarchitektur an! Verstehen Sie die Rollen, Smart Contracts und Strategien für die Verwaltung von über 900 Millionen US-Dollar an Vermögenswerten. Wissen ist Macht!

BlockSecs Perspektiven und Lösungen zur Sicherheit von L2 Blockchains

In diesem Blog werden wir zunächst die Sicherheitsherausforderungen von L2 Blockchains systematisch überprüfen und dann unsere Lösungen vorschlagen.

Podcast: Wie BlockSec Web3-Exploits im Wert von 15 Millionen US-Dollar in Echtzeit abgefangen hat

Andy Zhou, unser CEO, sprach mit dem Gastgeber DeGatchi im Scraping Bits Podcast darüber, wie wir Angriffe im Web3 blockieren. Dieser Blog ist eine Abschrift des Podcast-Inhalts.

Spannende Partnerschaft

Wir freuen uns, unsere Zusammenarbeit mit Puffer Finance (einem der Top-Restaking-Protokolle mit einem TVL von 461 Millionen US-Dollar) für ein umfassendes Audit der Kampagne bekannt zu geben.

Darüber hinaus integrieren wir Phalcon (unsere Plattform zur Überwachung und Blockierung von Angriffen) in das Protokoll von Puffer ein, um deren Sicherheitsmaßnahmen zu verbessern.

Veranstaltungen

Vom 1. bis 9. März begibt sich das BlockSec-Team auf seine US-Reise.

Wir sind offen für Kooperationen, Gespräche und alles, was mit Blockchain zu tun hat. DM uns für Treffen!

📍 Erster Halt: #ETHDenver, 1. bis 2. März

📍 Zweiter Halt: Silicon Valley, 3. bis 9. März

Produkt-Updates

Im Februar veranstalteten wir das Phalcon 3.0 Webinar und sammelten wertvolles Feedback von Nutzern zu Phalcon.

Im März werden wir Phalcon 3.0 launchen – eine nächste Generation von SaaS-Plattformen, die automatisch Hacks erkennt und blockiert, zugeschnitten auf Protokolle, LPs/Trader, L1/L2-Ketten und Börsen.

Machen Sie sich bereit für eine Web3-Sicherheitsrevolution! 🚀

Bleiben Sie informiert, bleiben Sie sicher! Bis zum nächsten Mal! 👋

Sign up for the latest updates
~$15.9M Lost: Trusted Volumes & More | BlockSec Weekly
Security Insights

~$15.9M Lost: Trusted Volumes & More | BlockSec Weekly

This BlockSec bi-weekly security report covers 11 notable attack incidents identified between April 27 and May 10, 2026, across Sui, Ethereum, BNB Chain, Base, Blast, and Berachain, with total estimated losses of approximately $15.9M. Three incidents are analyzed in detail: the highlighted $1.14M Aftermath Finance exploit on Sui, where a signed/unsigned semantic mismatch in the builder-fee validation allowed an attacker to inject a negative fee that was converted into positive collateral during settlement; the $5.87M Trusted Volumes RFQ authorization mismatch on Ethereum; and the $5.7M Wasabi Protocol infrastructure-to-contract-control compromise across multiple EVM chains.

Newsletter - April 2026
Security Insights

Newsletter - April 2026

In April 2026, the DeFi ecosystem experienced three major security incidents. KelpDAO lost ~$290M due to an insecure 1-of-1 DVN bridge configuration exploited via RPC infrastructure compromise, Drift Protocol suffered ~$285M from a multisig governance takeover leveraging Solana's durable nonce mechanism, and Rhea Finance incurred ~$18.4M following a business logic flaw in its margin-trading module that allowed circular swap path manipulatio

~$7.04M Lost: GiddyDefi, Volo Vault & More | BlockSec Weekly
Security Insights

~$7.04M Lost: GiddyDefi, Volo Vault & More | BlockSec Weekly

This BlockSec weekly security report covers eight attack incidents detected between April 20 and April 26, 2026, across Ethereum, Avalanche, Sui, Base, HyperLiquid, and MegaETH, with total estimated losses of approximately $7.04M. The highlighted incident is the $1.3M GiddyDefi exploit, where the attacker did not break any cryptography or use a flash loan but simply replayed an existing on-chain EIP-712 signature with the unsigned `aggregator` and `fromToken` fields swapped out for a malicious contract, demonstrating how partial signature coverage turns any historical signature into a generic permit. Other incidents include a $3.5M Volo Vault operator key compromise on Sui, a $1.5M Purrlend privileged-role takeover, a $413K SingularityFinance oracle misconfiguration, a $142.7K Scallop cross-pool index injection, a $72.35K Kipseli Router decimal mismatch, a $50.7K REVLoans (Juicebox) accounting pollution, and a $64K Custom Rebalancer arbitrary-call exploit.