Analyse von Sicherheitslücken in der Krypto-Branche: 20 typische Angriffsereignisse offenbaren drei Hauptmuster

BroadChain BroadChain erfuhr, dass am 21. April um 18:16 Uhr im April 2026, Kelp DAO aufgrund eines Angreifers, der unbesicherte Token nutzte, um echte Vermögenswerte auf Aave zu leihen, innerhalb von 46 Minuten über 200 Millionen US-Dollar an faulen Krediten verursachte, was zu einem Verlust von 292 Millionen US-Dollar führte. Dies ist nur ein Beispiel für eine Reihe kürzlicher Sicherheitsvorfälle, bei denen Drift Protocol 285 Millionen US-Dollar gestohlen wurden, Step Finance etwa 30 Millionen US-Dollar verlor, Resolv Labs etwa 23 Millionen US-Dollar verlor und weitere Fälle aufeinanderfolgend auftraten. Durch die Analyse von insgesamt 20 repräsentativen Diebstahlvorfällen in der Geschichte und jüngster Zeit lassen sich drei deutliche Muster beobachten: Technische Schwachstellenfälle sind zahlenmäßig überlegen, aber die Verluste pro Fall sind relativ begrenzt; Berechtigungs- und Social-Engineering-Angriffe sind zwar seltener, tragen jedoch den Großteil der Gesamtverluste bei; Das Ausmaß von Berechtigungsangriffen nimmt kontinuierlich zu. Es ist bemerkenswert, dass hinter den vier verlustreichsten Vorfällen nordkoreanische Hackerorganisationen stehen, und das Schlachtfeld der technischen Schwachstellen verlagert sich, wobei Sicherheitsprobleme im Bereich der Cross-Chain-Bridges besonders hervorstechen. Unter den Top 10 Projekten mit den höchsten Verlusten wurde Bybit im Februar 2025 um 1,5 Milliarden US-Dollar bestohlen, weil die nordkoreanische Hackerorganisation Lazarus Group durch Frontend-UI-Hijacking und Multi-Signature-Betrug den Multi-Signature-Mechanismus von Safe Wallet durchbrach; Ronin Network verlor im März 2022 624 Millionen US-Dollar, ebenfalls aufgrund von Lazarus Group, die durch Social Engineering die privaten Schlüssel der Validatorknoten übernahm; Poly Network wurde im August 2021 um 611 Millionen US-Dollar bestohlen, hauptsächlich aufgrund schwerwiegender Schwachstellen im Berechtigungsmanagement der Cross-Chain-Verträge; Wormhole verlor im Februar 2022 326 Millionen US-Dollar, weil in der Signaturüberprüfung veraltete und unsichere Funktionen verwendet wurden; Drift Protocol wurde im April 2026 um 285 Millionen US-Dollar bestohlen, wobei der Angreifer eine sechsmonatige gezielte Infiltration mit einem Solana Durable Nonce Pre-Sign-Betrug kombinierte; WazirX verlor im Juli 2024 235 Millionen US-Dollar, weil die Multi-Signature-Wallet schrittweise kompromittiert und durch einen bösartigen Vertrag ersetzt wurde; Cetus verlor im Mai 2025 223 Millionen US-Dollar, wobei der Angriff einen arithmetischen Überlauf in der Liquiditätsberechnung des Protokolls ausnutzte; Gala Games verlor im Mai 2024 216 Millionen US-Dollar, hauptsächlich weil der private Schlüssel des hochprivilegierten Minting-Kontos kompromittiert wurde; Mixin Network verlor im September 2023 200 Millionen US-Dollar, weil die zentral in einer Cloud-Datenbank gespeicherten privaten Schlüssel gestohlen wurden; Euler Finance verlor im März 2023 197 Millionen US-Dollar, wobei der Angriff eine Inkonsistenz in der Berechnungslogik der internen Vermögenswerte und Verbindlichkeiten des Protokolls ausnutzte. Unter den zehn kürzlich aufgetretenen Vorfällen verlor Hyperbridge im April 2026 etwa 2,5 Millionen US-Dollar aufgrund eines Fehlers in der Nachweisprüflogik des Token Gateways; Venus Protocol verlor im März 2026 etwa 3,7 bis 5 Millionen US-Dollar, wobei der Angreifer die Supply-Cap-Überprüfung umging und eine Schwachstelle in der Berechnungslogik des Wechselkurses ausnutzte, um Gewinne zu erzielen.