G4rdiii

A friend got some money in his new Tron wallet and, after hours of trying, finally asked me to send him some $TRX to transfer his $USDT out to an exchange. And we wonder why mass adoption never came. We still haven't truly solved gas.

When the Arbitrum Security Council confiscated the rsETH hacker wallet they didn't think of this. Now lawyers in the US are after that money to make whole DPRK victims from the past. Unlikely that 70M will be released to AAVE any time soon. Once you go centralized, RIP.

@rugpullfinder because total estimated losses are around 700k, and as you said it yourself wallets were conneted, if it was a password manager or a famous wallet provider hack, the amount would be much higher.

@GArdeshir What makes you think that?

1/ 🚨 Your “safe” old crypto wallet might already be compromised. Over just 48 hours (Apr 29-30, 2026), hundreds of Ethereum wallets, some untouched for 4-8+ years, were silently drained. Estimated losses: $737K+ This wasn’t random. It was coordinated. 🧵👇

@Smart_Money It's probably a CEX internal system getting drained, why are you making a mountain out of a molehill?

🤯 LEUTE, ICH BIN ECHT BESORGT! Ich sitze hier am 1. Mai und schaue mir an, was diese Woche im Markt passiert ist. Und ich muss euch ehrlich sagen, ich habe ein ungutes Gefühl. Eins von der Sorte, das ich seit Jahren nicht mehr hatte. In dieser Nacht laufen hunderte Wallets gleichzeitig leer. Auf Ethereum, Mainnet. Wallets, die sieben Jahre lang nicht bewegt wurden, sind in derselben Stunde leer. Alle Funds gehen an eine einzige Sammeladresse. @WazzCrypto hat es zuerst öffentlich gemacht, der Vektor ist noch unklar. Etwas, das wir noch nicht benennen können? Niemand weiß es. Acht Stunden früher: Wasabi Protocol. 5 Millionen Dollar weg, über vier Chains. Eine einzige Deployer-Wallet ohne Multisig, ohne Timelock. Der Angreifer bekommt ADMIN_ROLE, schiebt per UUPS-Upgrade malicious Code rein, drained Perp Vaults und LongPool. @blockaid_ hat es zuerst gemeldet, @PeckShieldAlert bestätigt. Berachain hat die Vaults gepausert. Zu spät. @zachxbt fragt das, was wir alle wissen sollten. Wieso hatte da überhaupt eine einzige EOA so viel Kontrolle, ohne grundlegende Sicherheiten? @vanshuETH rechnet nach. 1,82 Milliarden Dollar Volumen lagen über einen ungeschützten Key. Und Leute, das ist nur diese Woche. Schaut euch April an: → 04.04. Drift Protocol: 285 Millionen, vorab signierte Admin-Transaktionen, wochenlang im Voraus vorbereitet → April Kelp DAO: 292 Millionen → April Grinex: 13,7 Millionen → 24.04. Lazarus-Gruppe: 175 Millionen in sieben Tagen über THORChain gewaschen → 30.04. Wasabi Protocol: 5 Millionen, Multi-Chain → 30.04./01.05. ETH-Mass-Drain: hunderte Wallets, eine Adresse Über 805 Millionen Dollar in 27 Tagen. @cryptothedoggy nennt April den schlimmsten Monat für DeFi-Hacks überhaupt. Vor knapp drei Wochen habe ich über das KI Modell Mythos geschrieben. Eine KI, die tausend Zero-Days in Wochen findet, gegen die kein menschlicher Auditor anschreiben kann. Project Glasswing der Zentralbanken. Damals klang das nach FUD. Heute schaue ich auf das Muster und sehe genau das, wovor ich gewarnt habe. Hacks gehören zu Krypto, damit lebe ich seit Jahren. Was sich gerade verändert, ist die Methode. Frequenz. Skalierung. Parallelität. Hunderte Wallets gleichzeitig drainen, das macht kein Mensch mehr von Hand. Vorab signierte Admin-Transaktionen einen Monat vor dem Trigger einbauen, ist keine Hobby-Arbeit. UUPS-Upgrades auf vier Chains in derselben Stunde, das skaliert nur mit Werkzeugen, die wir vor zwei Jahren noch nicht hatten. Ich sage euch, was ich befürchte. Wir haben über Jahre eine Welt aus dezentralen Protokollen gebaut, die Multisigs für Komfort opfern. Die Audits, die Admin-Vektoren nicht ernst genug prüfen. Die "decentralized" auf das Frontend schreiben und dahinter eine einzige Wallet die Schlüssel zu Milliarden hält. Diese Architektur war schon vor drei Jahren am Limit. Mit den Werkzeugen, die jetzt verfügbar sind, hält sie nicht mehr. Ich bin langfristig drin. Ich glaube an dieses Asset, an diesen Zyklus, an die These. Und genau deshalb sage ich es so deutlich. Die nächsten zwölf Monate werden die Sicherheits-Architektur dieser Industrie auf eine Art testen, auf die sie nicht vorbereitet ist. Wir werden Hacks sehen, die wir uns heute noch nicht vorstellen können. Eine ganze Chain. Eine Top-10-Börse. Was am Ende fällt, hängt davon ab, wie schnell die Industrie aufrüstet. Und ehrlich, ich glaube nicht, dass sie schnell genug ist. Mai hat gerade angefangen. x.com/Smart_Money/st…

Credit where it's due. I've been critical of DeFi for not owning up to hacks. The coordination to clear Aave's bad debt is genuinely heartwarming.

@Im_IrushiK distribution.

I'm a vibe coder, scare me with one word.

@wallet giving a warning on @chesscom. Fix it guys, we are getting more and more random warnings nowadays. It makes the tool less and less useful if people just get used to seeing it on every site they use. Too many false positives.

🚨 Du wachst morgen auf. Dein Wallet ist leer. Kein Hack. Kein Phishing. Kein Seed-Leak. 12 Menschen haben in einer Telefonkonferenz entschieden, dass dein Geld jetzt jemand anderem gehört. Sie brauchten keinen Gerichtsbeschluss. Keinen richterlichen Befehl. Sie mussten nicht mal deinen Private Key kennen. Sie haben einen Button gedrückt. Das ist nicht Zukunft. Das ist gestern Nacht live gelaufen. Der #Arbitrum Security Council hat 30.766 ETH eingefroren. Rund 71 Mio. USD. Offizieller Grund: KelpDAO wurde exploitet, die Lazarus-Gruppe aus Nordkorea stand hinter dem Angriff. Der Council hat zum ersten Mal sein Notfall-Privileg produktiv genutzt. @arkham schreibt: "Nordkorea hat das Geld gestohlen, Arbitrum hat es zurückgestohlen." Die halbe Timeline klatscht Beifall. Hier hören die meisten auf zu denken. Weil der Skandal nicht im WEN liegt, sondern im WIE. Der Council hat keine einzelne Wallet gesperrt. Er hat auf #Ethereum den Inbox-Contract upgegradet und einen neuen Transaction-Type namens ArbitrumUnsignedTxType injiziert. Der braucht keinen Private Key. Keine Signatur. Er ist eine Übersteuer-Funktion auf Chain-Level. @0xyanshu nagelt es: Der Council hat nicht eine Wallet gefroren, sondern die Chain neu geschrieben. Heute war es Nordkorea. Morgen ist es ein OFAC-Sanctions-Request. Übermorgen ein Aktivist, der "im öffentlichen Interesse" gestoppt werden soll. Die Tür ist jetzt offen. Die 12 Menschen wissen, dass ihr Button funktioniert. Der nächste Freeze wird einfacher. Währenddessen streitet CT darüber, ob Arbitrum oder Tron zentraler ist. Justin Sun hat die Lücke genutzt, um Tron als dezentralste Chain zu positionieren. Niemand stellt die eigentliche Frage. Die eigentliche Frage: Warum bauen wir überhaupt Chains, auf denen ein Button existiert? #Bitcoin hat das nicht. Kein Security Council. Keine 12 Signer in einem Google Doc. Keine Upgrade-Funktion, die Private Keys bypassen kann. Kein CEO, den du anrufst. Kein Notfall-Button. Nicht weil es vergessen wurde, sondern weil es das Design ist. Bitcoin wurde 2008 genau deshalb so gebaut: Damit niemand einen Button drücken kann. Weder gegen dich noch für dich. Ethereums L2-Ökosystem hat diesen Ursprung vergessen. Optimism, Base, zkSync haben alle ähnliche Councils. Nur hat bei keinem der Button bis jetzt gezogen. Jetzt hat er gezogen. Er wird wieder ziehen. Ich hab euch vor drei Wochen über Drift geschrieben. Security Council kompromittiert, 285 Mio. USD weg. Vor elf Tagen über Scroll. Single Sequencer manipuliert. Ich sagte damals, die Frage sei nicht ob, sondern bei wem als Nächstes. Die Antwort kam schneller als ich dachte. $ARB steht bei $0.125. 95% unter seinem ATH. Der Markt hat längst abgestimmt. Du hast die Wahl. Vertrauen in 12 Menschen, die du nie gesehen hast und deren Namen du nicht kennst. Oder Vertrauen in einen Code, der seit 17 Jahren keinen Button hat. x.com/Smart_Money/st…

I have to disagree with you on this one @PatrickAlphaC. I don't believe web3 security is the issue here. Sure, there are hacks, but they are way less frequent than what's happening in web2. Should we say web2 isn't ready for retail then? In my eyes, the issue isn't security, it's responsibility. The fact that no one has taken responsibility for the hacks is what's causing funds to fly out of DeFi. No public plan to fix the current market conditions has been released by Aave. The governance system hasn't been blamed at all for taking the risk of accepting rsETH as collateral. And from what I can see, the governance token was never even considered as a way to compensate for their mistakes. If the governance token isn't used to cover losses, then let's just make it centralized again. @StaniKulechov 's final tweet was just damage control, and it still failed at that. After days of inaction and no public announcement, they came out with a simple "We are working on it" statement. So that's actually why web3 isn't ready for retail. Because we don't take responsibility for our users. Not because our products are insecure, but because of how we handle the aftermath.

Web3 isn't ready for retail until this is fixed.

Least to blame? hell no man. first of all they've done zero communications, for days after the hack, and still has not provided their users with a solid plan to fix the situation or to compensate them. secondly, they were way to careless in accepting tokens as cross market collateral and are now using passive aggressive language with their users saying "But pointing fingers is not something that gets us to the other side of this.", what kind of damage control is that? instead of giving a concise plan about fixing the situation after days of inaction you come in with a "we are working on it" tweet?

@StaniKulechov In all of this, Aave suffered the most while being the least to blame. Potential bad debt is not larger than average unrealized loss in US banks. So wishing you and all the users to resolve soon. Aave will win!

The past few days have been intense, but I wanted to give some updates as we continue to work on this. Our priority is our users, and every decision we are making is aimed at an orderly return to normal market conditions and the best possible outcome for everyone involved. Working around the clock, the team has made progress on multiple paths forward with several partners. The Arbitrum Security Council also recovered $70 million in ETH, which could meaningfully reduce the potential exposure, and multiple discussions and solutions are being considered. I am confident we will move towards a strong resolution. Reviewing what happened and learning from it matters. But pointing fingers is not something that gets us to the other side of this. Every bit of my energy right now is focused on the outcome for Aave users and the protocol. Aave has been my life's work, and this is an important moment for DeFi as much as it is for Aave. I am deeply grateful for the support and collaboration we have received from builders and partners across the industry. We’ll get through this together and we’ll continue to publish updates on @aave as they happen.

@jeremyct Of course nothing personal with the guy himself, I wish him bests in life, and hope he overcomes this hurdle. but man this shit keeps happening too much in each cycle.

@jeremyct One of most common bear markets outcomes, guys crying out on X that Crypto has ruined them.

Crypto has ruined my life honestly I’m 30, going 31. Down to my last 3 Sol with no job willing to hire me. Caught in the wars of launchpad that destroyed all the volume of anything to run organically, nowadays purely insider plays or caballed tokens. In debt of over $55k borrowing from friends and family in a span of 7 months Now i’m not sure where to even start with my life, feeling depressed almost every single day. Should have never started crypto in the first place.

Noting personal about the guy himself, but funny how these things keep coming up each cycle when we are deep in a bear market. Guys crying that the crypto is over. This hack was the end of all crypto. etc.

That's actually absurd. This means they can do it to anybody. whether it's a legal request, or worse, if that backdoor gets compromised, anyone's funds could be drained through it. Sure, the Aave hack had serious implications for DeFi, but removing the 'DE' from it is not the answer. Taking responsibility and paying victims back from their own fucking pocket is. Kelp, LZ, and Aave governance should all show a degree of responsibility. That's what DeFi is lacking right now, not more centralization.

How Arbitrum rugged the KelpDAO hackers for $71M. Hack the hackers. Love that.🔥 The Inbox contract (Arbitrum’s Ethereum gateway that sends messages into the chain) was temporarily upgraded with a one-off `sendUnsignedTransactionOverride` function that could inject a cross-chain message while impersonating the sender. A message was then executed as the exploiter wallet, moving the stolen funds to `0x0000000000000000000000000000000000000DA0` after which the Inbox contract was restored to its original implementation. This was all done atomically in one transaction. P.S. Get fucked, North Korea.😊

@maybeltr So I know its rage bait, but cant help it. SOME people got mad when USDC didn't froze the hacks. and SOME OTHER people got mad when Arbitrum did the same. there is always the difference in opinion online :))

So you wanted circle to freeze the USDC that North Korea hacked but get mad when Arbitrum actually does freeze stolen ETH. Like I get it's USDC vs ETH but come on

@sflorimm in C.S. probably widespread and publicly available quantum computing.

What will come after AI?