ETH Foundation: KI-Agenten finden Bugs, meist falsch-positiv
Die Foundation rückt KI-gestützte Audits als Verstärker menschlicher Prüfer ein, nicht als Ersatz. Die Falsch-Positiv-Quote ist der Grund, warum dieser Unterschied weiterhin zählt.
Jede Zipp-Geschichte mit dem Tag #Security, die neueste zuerst.
Die Foundation rückt KI-gestützte Audits als Verstärker menschlicher Prüfer ein, nicht als Ersatz. Die Falsch-Positiv-Quote ist der Grund, warum dieser Unterschied weiterhin zählt.
Das Wallet-zu-Wallet-Modell der Plattform umgeht die Angriffsfläche gemeinsamer Verwahrung, die KelpDAO, Drift und Grinex in einem einzigen Quartal geleert hat.
Die 10-Milliarden-Dollar-Warnung des Finanzministeriums und eine neue DeFi-Koalition zeigen, dass die Branche Social Engineering und staatlich verknüpfte Angreifer endlich als eigentliche Angriffsfläche behandelt, nicht mehr Smart-Contract-Bugs.
Der Entwickler kann den Täter nicht zurückverfolgen, und die Wiederherstellung läuft zwei Wochen nach dem Bekanntwerden des Vorfalls weiter über parallele Ansätze.
Die Schwachstelle lag in SecondFis Adressgenerierung, daher bietet das Verschieben einer Seed-Phrase auf eine neue Wallet keinerlei Schutz, und SlowMists höherer Verlustschätzwert ist die Zahl, die jeder ADA-Holder jetzt liest.
Ein US-Strafverfahren um einen mit Bitcoin finanzierten Lamborghini rückt physische Angriffe auf Krypto-Inhaber zurück vor Gericht – während die kumulierten Verluste durch Wrench Attacks in diesem Jahr die 100-Millionen-Dollar-Marke überschreiten.
Bridges, Flash-Loans und kompromittierte Schlüssel wurden systematisch entschärft. Was bleibt, ist die individuelle Protokoll-Logik — und ein einziger Fehler trifft nun gleichzeitig Ethereum, Base, Arbitrum, Polygon, OP Mainnet und …
Im April gab es an 27 von 30 Tagen Sicherheitsvorfälle, und Nordkorea hat fast 600 Mio. $ aus Drift und Kelp abgezogen — die Manager auf der Bühne in Paris sagten, allein das Brückenproblem halte institutionelles Kapital zurück …
Der CEO von Solstice Labs verortet die Lücke als kulturell, nicht technisch: Das Wachstum von DeFi werde durch einen Exploit-Zyklus von über 2 Mrd. $ untergraben, der beweist, dass Kapitalmanagement — nicht Code — die fehlende Schicht ist.
Der CEO von OpenZeppelin sagt, Coding-Agenten hätten die Asymmetrie in der Smart-Contract-Sicherheit umgekehrt — und 1,1 Mrd. $ an Hack-Verlusten in 12 Monaten sowie ein TVL-Minus von über 20 Mrd. $ machen die Warnung unmöglich zu ignorieren.
Der Cross-Chain-Liquiditätsrouter Squid hat sich von einem $3,2 Millionen Exploit distanziert, der mit einem…
Ein Abfluss über vier Chains, der BTC-, ETH-, BNB- und Base-Schichten trifft, setzt THORChain erneut auf die Beobachtungsliste – das vierte oder fünfte Sicherheitsereignis bei einem Protokoll, das dies schon kennt.
Ronghui Gu zufolge ist die Kostenschere strukturell bedingt: Angreifer nutzen KI, um operative Schwachstellen und Schwächen in der Lieferkette schneller zu scannen, als White-Hat-Budgets mithalten können – während die Nachwehen des Arbitrum-Freezes drohen…
Ein einziger Fehler in einem Verifiziererpfad ließ eine gefälschte Cross-Chain-Nachricht durchrutschen, und der nachgelagerte Abzugswelle liest sich nun wie ein Stresstest der DeFi-Kontagions-Infrastruktur.
Wenn Kelps Telegram-Screenshots standhalten, war der Verlust von $292M keine Fehlkonfiguration auf Kelp-Seite, sondern ein Verifier-Design, das LayerZero 2,5 Jahre lang geprüft und anschließend dem Opfer angelastet hat, nachdem Lazarus…
Griff Green argumentiert, das eigentliche Risiko bei Aave seien keine Smart-Contract-Bugs, sondern operationelle Risiken: geleakte Schlüssel und Social Engineering durch staatlich gesteuerte Angreifer, die von den Lending-Märkten noch nicht eingepreist wurden.
Die optionale Funktion erlaubt Nutzern, On-Chain-Auszahlungen bis zu einer Woche einzufrieren – eine Sicherheitskontrolle, die Social-Engineering- und Account-Takeover-Vektoren adressiert, nicht nur externe Hacks.
Verträge hielten, die Bridge nicht: Die WETH-Auslastung erreichte innerhalb von 90 Minuten 100 % – ein Sieben-Stunden-Vorsprung, den der Freeze des Protocol Guardian nicht mehr aufholen konnte.
Die neue Sperre von 1 bis 7 Tagen ist das erste große Exchange-Feature, das gezielt auf physische Nötigung und nicht auf Phishing zielt – und kommt in eine Zeit, in der CertiK-Daten 75% mehr Wrench-Attacls im Jahr 2025 zeigen.
Die 1–7-Tage-Sperre ist opt-in und greift nur, wenn ein Nutzer sie aktiviert – ein UX-Anstoß zu selbstverwahrungsnaher Vorsicht, der vollständig davon abhängt, dass der Nutzer sie vor dem Hack einschaltet, nicht erst währenddessen.