Top 3 DeFi-Vorfälle im Dezember
Yearn Finance: ca. 9 Mio. $
Am 1. Dezember wurde der yETH-Pool von Yearn Finance auf Ethereum ausgenutzt, was zu Gesamtverlusten von über 9 Millionen US-Dollar führte. Mit Unterstützung externer Sicherheitsteams konnten noch am selben Tag rund 2,39 Millionen US-Dollar (857,49 pxETH) erfolgreich gerettet werden.
Die Schwachstelle lag in der Funktion _calc_supply() , die eine iterative Methode zur Berechnung von Annäherungswerten für die neue Versorgung verwendete. Unsichere mathematische Operationen führten zu Rundungsfehlern und Unterlaufproblemen. Obwohl die Schwachstelle selbst relativ einfach erschien, führte der Angreifer ausgeklügelte Schritte durch, um sie auszunutzen, indem er die Versorgung des Pools auf Null manipulierte, bevor er Gewinne extrahierte.
Sechzehn Tage später wurde das Protokoll durch einen zweiten Einbruch kompromittiert, da ein veralteter Vertrag seiner älteren Version (iEarn) kompromittiert wurde. Dieser Vorfall nutzte eine bekannte Fehlkonfigurationsschwachstelle aus, die bereits 2023 identifiziert wurde. Der zweite Vorfall führte zu Verlusten von 300.000 US-Dollar, wodurch die monatliche Gesamtauswirkung des Protokolls auf fast 10 Millionen US-Dollar anstieg.
Lesen Sie den offiziellen Post-Mortem für eine detaillierte Angriffsanalyse
Trust Wallet: ca. 7 Mio. $
Am Weihnachtstag erlitt Trust Wallet einen kritischen Sicherheitsvorfall in seiner Chrome-Erweiterung (v2.68), der zum Diebstahl von Benutzergeldern in Höhe von rund 7 Millionen US-Dollar führte.
Die Hauptursache war eine bösartige Hintertür, die in den Code injiziert wurde und vermutlich aus einem Social-Engineering-Angriff auf das Entwicklungsteam stammte. Diese Hintertür lädt Benutzer-Mnemonics auf einen vom Angreifer kontrollierten Server hoch, wodurch alle Mnemonics kompromittiert werden, die mit dieser speziellen Version der Erweiterung generiert oder importiert wurden. Der Angreifer zog anschließend Benutzergelder auf mehreren Ketten ab und leitete sie an Nicht-KYC-Börsen weiter.
Nach dem Vorfall veröffentlichte das Trust Wallet-Team ein Notfallupdate zur Entfernung der Hintertür und verpflichtete sich zu einem Entschädigungsplan für betroffene Benutzer. Dieser Einbruch erinnert eindringlich daran, dass Sicherheit den gesamten Lebenszyklus eines Protokolls umfassen muss. Über die Prüfung von On-Chain-Code hinaus sind die Sicherung der Off-Chain-Infrastruktur und die kontinuierliche Überwachung unerlässlich, um Benutzervermögenswerte zu schützen.
Ribbon Finance: ca. 2,7 Mio. $
Am 12. Dezember wurde Ribbon Finance auf Ethereum angegriffen, was zu einem Verlust von 2,7 Millionen US-Dollar führte.
Die Hauptursache war eine unsachgemäße Zugriffskontrolle in der setAssetPricer()-Funktion des Oracle-Vertrags, die es jedem ermöglichte, beliebige Vermögenspreise festzulegen. Der Angreifer nutzte dies aus, indem er zunächst einen legitim aussehenden Preis-Oracle festlegte, um eine Entdeckung zu vermeiden, da das Protokoll Optionen nur in vollen Wochenintervallen abwickelt. Nach der Erstellung und dem Kauf einer Call-Option wartete der Angreifer bis zum Ausübungsdatum, um den Vertrag zu aktualisieren und den gutartigen Oracle durch einen bösartigen zu ersetzen, der einen künstlich aufgeblähten Vermögenspreis festlegte, und übte dann die Option aus, um den Gewinn zu erzielen.
Dieser Vorfall unterstreicht, dass die Zugriffskontrolle ein kritischer Aspekt der Smart-Contract-Sicherheit bleibt. Ein einziger Fehler bei der Berechtigungsverwaltung kann Protokolle erheblichen Risiken aussetzen. Umfassende Sicherheitsüberprüfungen, die alle Verwaltungsfunktionen untersuchen, sind vor der Bereitstellung unerlässlich, um solche Schwachstellen zu identifizieren und zu beheben.
Die obigen Informationen basieren auf Daten vom 30. Dezember 2025, 00:00 UTC.
Dies schließt den Bericht über die Sicherheitsvorfälle im Dezember ab.
Mehr erfahren Sie in unserer Bibliothek für Sicherheitsvorfälle.
Bleiben Sie informiert und sicher!
