Get the 2025 Crypto Crime Report Now

Wöchentlicher Web3 Sicherheitsvorfall-Rückblick | 23. Feb. – 1. Mrz. 2026

Wöchentlicher Web3 Sicherheitsvorfall-Rückblick | 23. Feb. – 1. Mrz. 2026

Im Laufe der letzten Woche (23.02.2026 - 01.03.2026) hat BlockSec sieben Angriffsvorfälle mit geschätzten Gesamtschäden von ca. 13 Millionen US-Dollar erkannt und analysiert. Die folgende Tabelle fasst diese Vorfälle zusammen, und detaillierte Analysen für jeden Fall finden Sie in den folgenden Unterabschnitten.

Datum Vorfall Typ Geschätzter Schaden
22.02.2026 LAXO-Vorfall Schwachstelle im Token-Design ~137 Tausend US-Dollar
22.02.2026 YieldBloxDAO-Vorfall Fehlkonfiguration des Orakels ~10 Millionen US-Dollar
23.02.2026 STO-Vorfall Schwachstelle im Token-Design ~16,1 Tausend US-Dollar
25.02.2026 HedgePay-Vorfall Fehlerhafte Geschäftslogik ~15,7 Tausend US-Dollar
26.02.2026 Ploutos-Vorfall Fehlkonfiguration des Orakels ~390 Tausend US-Dollar
26.02.2026 FOOMCASH-Vorfall Fehlerhafte Geschäftslogik ~2,26 Millionen US-Dollar
27.02.2026 Unbekannter Vorfall Unzureichende Eingabevalidierung ~180 Tausend US-Dollar

LAXO-Vorfall

Kurze Zusammenfassung

Am 22. Februar 2026 wurde der ERC20-Token LAXO auf der BNB Smart Chain ausgenutzt, was zu Verlusten von etwa 137.320 US-Dollar aus dem LAXO-USDT-Paar führte. Die Hauptursache war ein fehlerhafter Burn-Mechanismus, der ausgelöst wurde, wenn LAXO direkt an das PancakeSwap-Paar übertragen wurde. Da der Router auf der Whitelist stand und die Burn-Logik in transfer() nicht auslöste, umging der Angreifer dies: Er sendete LAXO an das Paar und rief dann die Low-Level-Funktion swap() des Paares auf, die Paar-Token verbrannte und sync() aufrief, wodurch der Preis in die Höhe getrieben wurde. Der Angreifer tauschte dann zur Gewinnmitnahme zurück in USDT.

Hintergrund

Der LAXO-Token implementiert einen Burn-Mechanismus. Wenn der Empfänger einer Überweisung die USDT–LAXO PancakeSwap-Paaradresse ist, behandelt der Token dies als Verkauf: Er verbrennt eine entsprechende Menge an Token aus dem Paar und ruft dann sync() auf, um die Reserven des Paares zu aktualisieren. 1.png Zusätzlich implementiert der LAXO-Token eine Whitelist (_isExcludedFromFee), um bestimmte Adressen (z. B. Swap-Router) vom Burn-Mechanismus und Gebühren auszunehmen. 2.png

Schwachstellenanalyse

Die Hauptursache des Vorfalls war ein fehlerhafter Burn-Mechanismus im LAXO-Token. Insbesondere löst die Übertragung von LAXO direkt an das Paar den Burn aus, wodurch LAXO aus dem Paar entfernt und sein Preis in die Höhe getrieben wird. Infolgedessen kann ein Angreifer dies ausnutzen, um Gewinne durch Preismanipulationsangriffe zu erzielen.

Angriffsanalyse

Die Angriffsanalyse basiert auf der Transaktion 0xd58f3ef6...d98ac7d3.

  1. Der Angreifer lieh sich 350.000e18 USDT von PancakeSwap V3.

  2. Der Angreifer tauschte USDT gegen LAXO über den PancakeSwap Router. Um Handelsbeschränkungen (buyEnabled = false) und Gebührenlogik zu umgehen, erstellte der Angreifer ein BNB–LAXO V2-Paar und leitete Trades darüber. 3.png

  3. Der Angreifer übertrug den gesamten gehaltenen LAXO direkt an das USDT–LAXO-Paar. Dies reduzierte die LAXO-Reserve im Pool, während die USDT-Reserve nahezu unverändert blieb, was den Preis von LAXO im USDT–LAXO-Paar dramatisch erhöhte.

  4. Der Angreifer tauschte burnAmount LAXO für ~487.500e18 USDT auf Basis des manipulierten Preises.

  5. Der Angreifer beglich den Flash-Loan und behielt die verbleibenden USDT als Gewinn.

Schlussfolgerung

Die Hauptursache dieses Vorfalls liegt im fehlerhaften Burn-Mechanismus von LAXO, der es Angreifern ermöglicht, USDT über Preismanipulationsangriffe aus dem Pool abzuziehen. Infolgedessen beliefen sich die Gesamtschäden des Vorfalls auf etwa 137,3 Tausend US-Dollar. Um solche Probleme zu mildern, muss das Projekt umfassende Tests seines Burn-Mechanismus durchführen, um potenzielle Preismanipulationsangriffe zu vermeiden.

YieldBloxDAO-Vorfall

Kurze Zusammenfassung

Am 22. Februar 2026 wurde ein Kreditpool, der von der YieldBlox DAO auf Stellar's Blend V2 betrieben wurde, ausgenutzt, was zu Verlusten von über 10 Millionen US-Dollar führte [1]. Der Vorfall wurde durch eine Fehlkonfiguration durch den Poolbetreiber (YieldBlox DAO) verursacht, nicht durch eine Schwachstelle in den Smart Contracts.

Insbesondere manipulierte der Angreifer den USTRY/USDC-Markt auf SDEX. Der vom Pool konfigurierte Reflector-Orakelpfad akzeptierte den manipulierten Preis, der USTRY als Sicherheit überbewertete und es dem Angreifer ermöglichte, Pool-Assets, einschließlich USDC und XLM, abzuziehen.

Hintergrund

Auf der Stellar-Blockchain ist Blend V2 ein Liquiditätsprotokoll, das es Benutzern ermöglicht, isolierte Kreditpools zu erstellen. Diese Pools erleichtern die Verleihung und Aufnahme von Krediten zwischen Benutzern für eine Reihe unterstützter Assets. Insbesondere ermöglicht der im Vorfall betroffene Pool den Benutzern, XLM und USDC gegen USTRY als Sicherheit zu leihen. Darüber hinaus gibt der Pool-Ersteller das Reflector-Orakel [2] bei der Erstellung als Orakel-Provider an. Der Preis von USTRY, der vom Reflector-Orakel bereitgestellt wird, aktualisiert sich alle fünf Minuten basierend auf dem USTRY/USDC-Markt auf der Stellar DEX (d. h. SDEX) [3].

Schwachstellenanalyse

Die Hauptursache war die Preismaipulation auf dem illiquiden USTRY/USDC-Markt von SDEX, die zu einer fehlerhaften Aktualisierung des USTRY-Preises im Reflector-Orakel führte. Insbesondere konnte der Angreifer aufgrund der extrem geringen Liquidität auf dem USTRY/USDC-Markt normale Orders verbrauchen und abnormale Orders platzieren, um den USTRY-Preis um das Hundertfache zu erhöhen. Dieser erhöhte USTRY-Preis wurde an das Reflector-Orakel weitergegeben, wodurch der Angreifer alle Assets (d. h. XLM und USDC) aus dem betroffenen Pool leihen konnte, indem er überbewerteten USTRY als Sicherheit hinterlegte.

Angriffsanalyse

  1. (Tx 1, 2) Der Angreifer manipulierte den USTRY-Preis auf SDEX und trieb ihn von 1,06 US-Dollar auf etwa 107 US-Dollar. Da der USTRY/USDC-Markt auf SDEX extrem flach war, verbrauchte der Angreifer alle normalen Orders und platzierte dann abnormale Orders, wodurch der Marktpreis stark nach oben getrieben wurde. 4.png 5.png
  2. (Tx 3) Das Reflector-Orakel zog den manipulierten Preis von SDEX ab und aktualisierte seinen Preis-Feed entsprechend. 6.png
  3. (Tx 4, 5) Der Angreifer lieh sich 1.000.196e7 USDC, indem er 12.881e7 USTRY als Sicherheit hinterlegte. 7.png
  4. (Tx 6, 7) Der Angreifer lieh sich 6.124.927.810e7 XLM, indem er 14.987.610e7 USTRY als Sicherheit hinterlegte. 8.png
  5. (Txs 8, 9, 10) Schließlich brückte der Angreifer die abgezogenen Assets auf mehrere Ketten, darunter Base, BSC und Ethereum.

Die folgenden Tabellen fassen die wichtigsten Exploit-Transaktionen und die beteiligten Adressen zusammen.

ID Kette Aktion Verlust Tx(s) Hash
1 Stellar Preismaipulation - 09e1a9d1197c9bf0af4e87da328c4f2d5eb49b487630aa61991fb5c1c4637cdb
2 Stellar Preismaipulation - 60fe039e96e88402d175c8de68e80651874ab125880dd384a1636914ba95bef1
3 Stellar Preisaktualisierung - 56466ad66cd5c49a251b9f1c7c0cf6b1b2f62d121b58ff856e2b43673b22be51
4 Stellar Einzahlung 1 - b810ba4a8d7547bb024f17b58c32cc644533176206d0f8178d4ba0a545cb7597
5 Stellar Kreditaufnahme 1 1 Mio. US-Dollar
(1 Mio. USDC)		 ae721cacee382bdecac8d2c47286ecd42cb4711f658bb2aec7cba60dc64a31ff
6 Stellar Einzahlung 2 - 81f304ae627ba294df0f9c0708a58a2fe770b39d65f8cd0efe1d7d6d6cc885a6
7 Stellar Kreditaufnahme 2 9,85 Mio. US-Dollar
(61,2 Mio. XLM)		 3e81a3f7b6e17cc22d0a1f33e9dcf90e5664b125b9e61f108b8d2f082f2d4657
8 Stellar Bridge zu Binance Smart Chain - 1210ccb583c174e0ecb3cdc56adbc59a06d73b7ebcb07b7e9a1c0c371b9f00e3
9 Stellar Bridge zu Base Chain - (erste)3fba5c384763349b74c7bfece148eb12600b161faf3382ba9c1f5f0fe76d52f5
(letzte)df6129cce16edc7800a4199edb9d2ef2f3e6bfc9d3f44d6e29b3ab20c8dc1714
(gesamt 15)
10 Stellar Bridge zu Ethereum chain - (erste)4012e2d140ea493de8d8abe5cc2ddd9e7d7f6661594d53fef5d0cfc26e1c7f0b
(letzte)f383fedb28dae42a6d8d8aab77de81d0645c67e57d3f6bc10683f659d229cce6
(gesamt 16)

Schlussfolgerung

Obwohl der YieldBloxDAO-Vorfall zu erheblichen Verlusten führte, ist das zugrunde liegende Problem nicht komplex: Die Bewertung der Sicherheiten hängt von einem Preis ab, der anfällig für Manipulationen ist. Dieser Vorfall dient als Erinnerung daran, dass die Preisabhängigkeit für Kreditprotokolle sorgfältig ausgewählt und überwacht werden muss.

Referenzen

[1] https://blocksec.com/blog/yieldblox-dao-incident-on-stellar-oracle-misconfiguration-enabled-a-10m-drain

[2] https://reflector.network/

[3] USTRY/USDC Market on the SDEX

STO-Vorfall

Kurze Zusammenfassung

Am 23. Februar 2026 wurde ein STO-WBNB-Pool auf PancakeSwap in der BNB Smart Chain geleert, was zu Verlusten von etwa 16.100 US-Dollar führte. Die Hauptursache war ein fehlerhafter Burn-Mechanismus im STO-Token. Insbesondere wurde beim Verkauf von STO-Token im Pool der Burn-Mechanismus ausgelöst, der STO-Token aus dem Pool verbrannte und den Preis des Tokens in die Höhe trieb. Infolgedessen nutzte der Angreifer diese Schwachstelle aus, um WBNB-Token aus dem Pool abzuziehen.

Hintergrund

Der STO-Token führt einen Burn-Mechanismus ein, der auf den PancakeSwap V2-Pool abzielt. Dieser Mechanismus wird nur ausgelöst, wenn die Verkaufsfunktion des STO-Tokens aktiviert ist (d. h. sellEnabled == true) und pendingBurnFromSell > 0. Wenn ein Benutzer STO-Token verkauft, verbrennt der Mechanismus STO-Token aus dem Pool. Insbesondere werden 94% der im vorherigen Handel verkauften STO-Token während des Verbrennungsprozesses verbrannt.

Schwachstellenanalyse

Die Hauptursache des Vorfalls ist der fehlerhafte Burn-Mechanismus im STO-Token. Insbesondere entfernt der Burn-Mechanismus beim Verkauf von STO-Token durch einen Benutzer eine bestimmte Menge an STO-Token aus dem Pool und ruft gleichzeitig die sync()-Funktion des Paarvertrags auf, um die Reserven zu aktualisieren. Dieser Burn-Mechanismus treibt den Preis des STO-Tokens im Pool in die Höhe. Infolgedessen konnten Angreifer von diesem Mechanismus profitieren, indem sie einen Preismanipulationsangriff durchführten. 9.png

Angriffsanalyse

Die folgende Analyse basiert auf der Transaktion 0x8ba17bea...5a54020c.

  1. Der Angreifer lieh sich über den Flash-Loan 360.894e18 WBNB.

  2. Der Angreifer rief die Funktion initializeLiquidity() auf, um die Kauf- und Verkaufsfunktionalität des STO-Tokens zu aktivieren. 10.png

  3. Der Angreifer tauschte 360.894e18 WBNB gegen 7.848.832e18 STO.

  4. Der Angreifer rief die Funktion transfer() auf und löste damit den Burn-Mechanismus aus, um die Reserven des Paares zu manipulieren (d. h. den Preis des STO-Tokens zu erhöhen), während er gleichzeitig die Menge der in der nächsten Transaktion zu verbrennenden STO-Token auf 173.391e18 festlegte. 11.png

  5. Der Angreifer rief die Funktion swap() auf, um STO gegen WBNB zu tauschen. Dieser Schritt ermöglichte es dem Angreifer, Gewinne auf Basis des manipulierten Preises zu erzielen.

  6. Der Angreifer wiederholte die Schritte 4 und 5, um das WBNB aus dem Pool abzuziehen.

  7. Der Angreifer beglich den Flash-Loan und erzielte einen Gewinn von 26e18 WBNB.

Schlussfolgerung

Die Hauptursache dieses Vorfalls liegt im fehlerhaften Burn-Mechanismus von STO, der es Angreifern ermöglicht, WBNB aus dem Pool abzuziehen. Um solche Probleme zu vermeiden, muss das Projekt ordnungsgemäße Zugriffskontrollen innerhalb des Systems implementieren und umfassende Tests seines Burn-Mechanismus durchführen, um potenzielle Preismanipulationsangriffe zu vermeiden.

HedgePay-Vorfall

Kurze Zusammenfassung

Am 25. Februar 2026 wurde das HedgePay-Protokoll auf der BNB Smart Chain ausgenutzt, was zu Verlusten von etwa 15.700 US-Dollar führte. Die Hauptursache war eine fehlerhafte Geschäftslogik im Staking-Vertrag des HedgePay-Protokolls. Insbesondere ermöglichte die Funktion forceExit() des anfälligen Staking-Vertrags (d. h. 0xBe189fe9f84cA531CD979630E1f14757b88dD80d) Benutzern, ihre gestakten Assets abzuziehen, ohne ihre gestakten Guthaben zu aktualisieren. Infolgedessen konnte der Angreifer die Funktion forceExit() wiederholt aufrufen, um die HPAY-Token des Vertrags abzuziehen.

Hintergrund

Das HedgePay-Protokoll ist ein Staking-Protokoll, das es Benutzern ermöglicht, Belohnungen durch das Staken von HPAY-Token zu verdienen. Die Funktion forceExit() ermöglicht es Benutzern, ihre gestakten Assets abzuziehen.

Schwachstellenanalyse

Die Hauptursache des Vorfalls ist eine fehlerhafte Geschäftslogik in der Funktion forceExit(). Insbesondere, wenn Benutzer HPAY-Token über die Funktion stake() staken, wird ihr gestakter Betrag (d. h. _balances[msg.sender]) entsprechend aktualisiert. Wenn Benutzer jedoch ihre gestakten HPAY-Token über die Funktion forceExit() abziehen, versäumt es der Vertrag, _balances[msg.sender] zu aktualisieren. Infolgedessen kann der Angreifer HPAY-Token im Staking-Vertrag abziehen, indem er die Funktion forceExit() wiederholt aufruft. 12.png

Angriffsanalyse

Die folgende Analyse basiert auf der Transaktion 0x5f2ea6cb...46ed137f.

  1. Der Angreifer lieh sich 1.247.859e18 HPAY über den Flash-Loan. In der Flashloan-Callback-Funktion:

    a. Der Angreifer stakte 1.197.944e18 HPAY über die Funktion stake().

    b. Der Angreifer rief wiederholt die Funktion forceExit() auf, um die HPAY-Token des Vertrags abzuziehen. 13.png

  2. Der Angreifer beglich den Flash-Loan und tauschte 57.389.615e18 HPAY gegen 26e18 WBNB (d. h. erzielte einen Gewinn von 26e18 WBNB).

Schlussfolgerung

Die Hauptursache dieses Vorfalls war, dass die Funktion forceExit() den _balances[msg.sender] des Benutzers nicht aktualisierte, was es dem Angreifer ermöglichte, HPAY-Token im Staking-Vertrag abzuziehen. Um solche Probleme zu vermeiden, sollte das Projekt ordnungsgemäße zustandsorientierte Tests durchführen, um sicherzustellen, dass die Zustandsinvarianten in jeder Funktion korrekt eingehalten werden.

Ploutos-Vorfall

Kurze Zusammenfassung

Am 26. Februar 2026 erlitt ein Pool des Ploutos-Protokolls auf Ethereum Verluste von etwa 390.000 US-Dollar aufgrund einer Fehlkonfiguration des Orakels. Insbesondere war das Orakel falsch so konfiguriert, dass es einen BTC/USD Chainlink-Preis-Feed für USDC verwendete. Infolgedessen nutzte der Angreifer diese Fehlkonfiguration aus, um 187 ETH zu leihen, indem er nur 8 USDC als Sicherheit hinterlegte.

Schwachstellenanalyse

Ploutos ist ein Fork von Aave v3.0.2, der auf mehreren Netzwerken eingesetzt wird. Der Vorfall wurde durch eine falsche Orakelkonfiguration im Kreditpool (0xD060...F945D2) verursacht. 14.png Im Block 24538896 wurde das Preis-Orakel für USDC falsch so konfiguriert, dass es auf einen BTC/USD Chainlink-Feed statt auf einen USDC/USD-Feed verwies. Im folgenden Block (24538897) erkannte der Angreifer die Fehlkonfiguration und führte den Exploit durch. Infolgedessen lieh sich der Angreifer etwa 187,3 ETH als Gewinn, indem er etwa 8,88 USDC als Sicherheit hinterlegte. 15.png

Angriffsanalyse

  1. Der Angreifer überwachte die Orakelkonfigurationsoperationen des Ploutos-Protokolls, die fälschlicherweise die Orakelquelle von USDC auf den Chainlink BTC/USDC Price Feed in Tx 0xcfedf6...bd193ab6 setzten.

  2. Der Angreifer sandte sofort eine Transaktion (0xa17dc37e...705f8474), die es dem Angreifer ermöglichte, ~187,3 ETH durch die Hinterlegung von nur ~8,8 USDC aufgrund der Orakel-Fehlkonfiguration zu leihen.

  3. Der Angreifer zahlte ~5,6 ETH an Builder-Bestechungsgelder und erzielte einen Nettogewinn von ~181,7 ETH.

Schlussfolgerung

Die Hauptursache des Vorfalls war eine Orakel-Fehlkonfiguration, die zu Verlusten von etwa 390.000 US-Dollar führte. Dies dient als Erinnerung daran, dass sensible Operationen wie die Orakelkonfiguration durch Multisig-Wallets oder Timelocks geschützt werden sollten, um potenzielle Verluste zu vermeiden.

Referenzen

[1] https://x.com/Phalcon_xyz/status/2026943448734114011

FOOMCASH-Vorfall

Kurze Zusammenfassung

Am 26. Februar 2026 wurde das FOOMCASH-Protokoll aufgrund einer anfälligen Groth16-Proof-Verifizierung [1] ausgenutzt, was zu Gesamtschäden von über 2,26 Millionen US-Dollar führte.

Hintergrund

Das FOOMCASH-Protokoll ist ein Lotterieprotokoll auf Base und Ethereum, das Groth16-Proofs für Auszahlungsüberprüfungen verwendet. Im Vertrag FoomLottery verifiziert die Funktion collect() den bereitgestellten Proof (d. h. _pA, _pB und _pC), indem sie die Funktion WithdrawG16Verifier.verifyProof() aufruft. Insbesondere erfolgt die Verifizierung basierend auf dem vertrauenswürdigen Setup (d. h. Gamma und Delta) im Vertrag WithdrawG16Verifier. Sobald der Proof als gültig verifiziert ist, fährt die Funktion collect() fort, Assets (d. h. FOOM-Token) basierend auf den Eingaben des Benutzers (z. B. _recipient und _rewardbits) zu übertragen. 16.png

Schwachstellenanalyse

Die Hauptursache des Vorfalls war ein anfälliges Groth16-Setup. Insbesondere im Vertrag WithdrawG16Verifier teilten sich die Variablen Gamma (γ\gamma) und Delta (δ\delta) denselben Wert (d. h. G_2G\_{2}), was es dem Angreifer ermöglichte, gültige Proofs mit beliebigen Eingaben zu fälschen. Infolgedessen umging der Angreifer die Groth16-Proof-Verifizierung im Vertrag WithdrawG16Verifier und zog alle Assets im Vertrag FoomLottery mit bösartigen Eingaben ab. 17.png

Angriffsanalyse

Die Angriffsanalyse basiert auf der Transaktion 0xce204482...4e275e48.

Der Angreifer erstellte einen bösartigen Vertrag, um einen gültigen Proof und bösartige Eingaben zu konstruieren. In der Fallback-Logik des bösartigen Vertrags: 18.png

  1. Es wurde ein gültiger Proof konstruiert.

  2. Es rief die Funktion collect() des Vertrags FoomLottery mit einem gültigen Proof und bösartigen Eingaben (z. B. _recipient und _rewardbits) auf.

    1. Bei dem Aufruf der Funktion collect() wurde die Proof-Verifizierung (d. h. WithdrawG16Verifier.verifyProof()) umgangen und die Assets (d. h. FOOM-Token) wurden an den Angreifer übertragen.

  3. Es wiederholte die Schritte 1-2 für 30 Mal und zog insgesamt 19.695.576.757.802e18 FOOM-Token ab.

Schlussfolgerung

Die Hauptursache des Vorfalls war ein anfälliges Groth16-Verifizierungssetup, das zu Verlusten von etwa 2,26 Millionen US-Dollar führte. Dies unterstreicht, dass komplexe kryptografische Setups vor der Bereitstellung gründlich überprüft und auditiert werden müssen.

Referenzen

[1] https://x.com/Phalcon_xyz/status/2026941738141778394

Unbekannter Vorfall

Kurze Zusammenfassung

Am 27. Februar 2026 wurde ein unbekannter Vertrag auf der BNB Smart Chain ausgenutzt [1], was zu Verlusten von etwa 180.000 US-Dollar führte. Die Hauptursache dieses Vorfalls war eine unzureichende Eingabevalidierung. Insbesondere versäumte es die Funktion _verifySignatures() des betroffenen Vertrags, eine Prüfung auf leere Listen durchzuführen, wodurch der Angreifer die Signaturüberprüfung umgehen konnte, ohne Signaturen und Unterzeichner anzugeben. Infolgedessen nutzte der Angreifer diese Schwachstelle aus, um alle USDT-Token im betroffenen Vertrag abzuziehen.

Schwachstellenanalyse

Die Hauptursache dieses Vorfalls ist eine unzureichende Validierung im Signaturüberprüfungsprozess. Insbesondere prüft die Funktion _verifySignatures() nur, ob allSigners.length == signatures.length, und verlangt nicht, dass eines der Arrays nicht leer ist. Wenn beide Arrays leer sind, kann der Angreifer die Signaturüberprüfung umgehen und Assets abheben. 19.png 20.png

Angriffsanalyse

Die folgende Analyse basiert auf dieser Transaktion 0x91f45260...41cfd784.

  1. Der Angreifer rief die Funktion 0x2d0cb456() seiner bösartigen Verträge auf. Bei dem Aufruf:

    a. Der bösartige Vertrag rief die Funktion poolWithdraw() mit leeren Eingaben allSigners und signatures auf und umging damit die vorgesehene Signaturüberprüfungslogik. 21.png b. Nachdem die Signaturüberprüfungslogik umgangen war, übertrug der betroffene Vertrag USDT an den Angreifer. 22.png

Schlussfolgerung

Die Hauptursache dieses Vorfalls war eine unzureichende Eingabevalidierung, die zu Verlusten von etwa 180.000 US-Dollar führte. Der Vorfall unterstreicht die Bedeutung grundlegender Bereichsprüfungen wie der Prüfung auf Nicht-Leerheit für Eingaben.

Referenzen

[1] https://x.com/Phalcon_xyz/status/2027328894710505581

Sign up for the latest updates
Weekly Web3 Security Incident Roundup | Feb 23 – Mar 1, 2026

Weekly Web3 Security Incident Roundup | Feb 23 – Mar 1, 2026

During the week of February 23 to March 1, 2026, seven blockchain security incidents were reported with total losses of ~$13M. The incidents affected multiple protocols, exposing critical weaknesses in oracle design/configuration, cryptographic verification, and core business logic. The primary drivers included oracle manipulation/misconfiguration that led to the largest loss at YieldBloxDAO (~$10M), a crypto-proof verification flaw that enabled the FOOMCASH (~$2.26M) exploit, and additional token design and logic errors impacting Ploutos, LAXO, STO, HedgePay, and an unknown contract, underscoring the need for rigorous audits and continuous monitoring across all protocol layers.

Newsletter - February 2026

Newsletter - February 2026

February 2026 saw three major DeFi security incidents: YieldBlox DAO lost ~$10M due to oracle price manipulation, IoTeX’s ioTube bridge suffered ~$4.4M from a private key compromise, and CrossCurve incurred ~$2.8M after a cross-chain validation bypass.

BlockSec Releases the 2025 Crypto Crime Report

BlockSec Releases the 2025 Crypto Crime Report

This 67-page report, based on data analysis and on-chain evidence, includes breakdowns of common real-world cases, showing the big picture of cryptocurrency crime in 2025. It also covers the main features, structure, and trends in this field.