Top 3 DeFi-Vorfälle im Dezember
Yearn Finance: ~9 Mio. USD
Am 1. Dezember wurde Yearn Finances yETH-Pool auf Ethereum ausgenutzt, was zu Gesamtverlusten von über 9 Millionen US-Dollar führte. Mit Unterstützung externer Sicherheitsteams konnten am selben Tag etwa 2,39 Millionen US-Dollar (857,49 pxETH) erfolgreich gerettet werden.
Die Schwachstelle lag in der Funktion calc_supply(), die eine iterative Methode zur Berechnung neuer Angebotsschätzungen verwendete. Unsichere mathematische Operationen führten zu Rundungsfehlern und Unterlaufproblemen. Obwohl die Schwachstelle selbst relativ unkompliziert erschien, führte der Angreifer ausgeklügelte Schritte durch, um sie auszunutzen, indem er das Angebot des Pools auf Null manipulierte, bevor er Gewinne extrahierte.
Sechzehn Tage später wurde das Protokoll durch die Kompromittierung eines veralteten Vertrags seiner Legacy-Version (iEarn) zum zweiten Mal gehackt. Bei diesem Vorfall wurde eine bekannte Fehlkonfigurationsschwachstelle ausgenutzt, die bereits 2023 identifiziert wurde. Der zweite Vorfall führte zu Verlusten von 300.000 US-Dollar, wodurch die monatlichen Gesamtauswirkungen des Protokolls fast 10 Millionen US-Dollar erreichten.
Offiziellen Post-Mortem für detaillierte Angriffsanalyse lesen
Trust Wallet: ~7 Mio. USD
Am Weihnachtstag erlitt Trust Wallet eine kritische Sicherheitslücke in seiner Chrome-Erweiterung (v2.68), was zum Diebstahl von rund 7 Millionen US-Dollar an Nutzergeldern führte.
Die Ursache war eine bösartige Backdoor, die in den Code eingeschleust wurde und vermutlich aus einem Social-Engineering-Angriff auf das Entwicklungsteam stammt. Diese Backdoor-Methode lädt Benutzer-Mnemonics auf einen vom Angreifer kontrollierten Server hoch und kompromittiert somit alle Mnemonics, die mit dieser speziellen Version der Erweiterung generiert oder importiert wurden. Der Angreifer hat anschließend Nutzergelder auf mehreren Ketten abgezogen und zu Non-KYC-Börsen geleitet.
Nach dem Vorfall veröffentlichte das Trust Wallet-Team ein Notfall-Update, um die Backdoor zu entfernen, und verpflichtete sich zu einem Entschädigungsplan für betroffene Nutzer. Dieser Einbruch erinnert nachdrücklich daran, dass Sicherheit den gesamten Protokolllebenszyklus abdecken muss. Über On-Chain-Codeaudits hinaus sind die Sicherung der Off-Chain-Infrastruktur und die kontinuierliche Überwachung unerlässlich, um Nutzervermögen zu schützen.
Ribbon Finance: ~2,7 Mio. USD
Am 12. Dezember wurde Ribbon Finance auf Ethereum angegriffen, was zu einem Verlust von 2,7 Millionen US-Dollar führte.
Die Ursache war eine unzureichende Zugriffskontrolle in der setAssetPricer()-Funktion innerhalb des Oracle-Vertrags, die es jedem ermöglichte, beliebige Asset-Preise festzulegen. Der Angreifer nutzte dies aus, indem er zunächst einen legitim aussehenden Preisorakel festlegte, um eine Entdeckung zu vermeiden, da das Protokoll Optionen nur in ganzen Wochenabschnitten abrechnet. Nach der Erstellung und dem Kauf einer Call-Optionsposition wartete der Angreifer bis zum Ausübungsdatum, um den Vertrag zu aktualisieren und das gutartige Orakel durch ein bösartiges zu ersetzen, das einen künstlich aufgeblähten Asset-Preis festlegte, und übte dann die Option aus, um den Gewinn zu extrahieren.
Dieser Vorfall unterstreicht, dass die Zugriffskontrolle ein kritischer Aspekt der Smart-Contract-Sicherheit bleibt. Ein einzelner Fehler im Berechtigungsmanagement kann Protokolle erheblichen Risiken aussetzen. Umfassende Sicherheitsaudits, die alle administrativen Funktionen untersuchen, sind vor der Bereitstellung unerlässlich, um solche Schwachstellen zu identifizieren und zu beheben.
Die obigen Informationen basieren auf Daten vom 30. Dezember 2025, 00:00 UTC.
Dies schließt den Sicherheitsbericht für Dezember ab
Mehr erfahren Sie in unserer Bibliothek für Sicherheitsvorfälle.
Bleiben Sie informiert und sicher!
