Protokół DeFi BadgerDAO stracił ponad 120 milionów dolarów w różnych kryptowalutach po włamaniu. W środę wieczorem hakerowi udało się ukraść środki z kilku portfeli kryptowalutowych podłączonych do zdecentralizowanej platformy finansowej o nazwie BadgerDAO.
Zhakowanie BadgerDAO: środki o wartości 120 mln dolarów skradzione z różnych portfeli
Według raportu PeckShield, firmy zajmującej się analizą danych i bezpieczeństwa, łączna kwota utracona podczas włamania wyniosła około 2100 bitcoinów i 151 etherów.
Oto aktualne miejsce pobytu oraz całkowita strata: 120,3 mln USD (z ~ 2,1 tys. BTC + 151 ETH) @BadgerDAO pic.twitter.com/fJ4hJcMWTq
— PeckShield Inc. (@peckshield) 2 grudnia 2021
W środę około godziny 21:00 czasu wschodniego użytkownicy zaczęli narzekać na problem na kanale platformy Discord.
Spekuluje się, że przyczyną włamania był exploit w interfejsie użytkownika Badger.com, a nie luka w podstawowych umowach.
Duża liczba użytkowników zgłosiła, że ich dostawcy portfeli prosili o dodatkowe uprawnienia, gdy próbowali wejść w interakcję ze swoimi skarbcami Badger.
Główny współtwórca Badgera, Tritium, stwierdził na Discordzie, że: „Wygląda na to, że grupa użytkowników miała ustawioną zgodę na adres exploita, który pozwala [the address] operować na ich funduszach skarbca i to zostało wykorzystane. Kiedy zauważyliśmy, że zamroziliśmy wszystkie skarbce, aby nic nie mogło się ruszyć, i próbujemy dowiedzieć się, skąd pochodzą zatwierdzenia, ile osób je posiada i jakie są następne kroki.
Włamanie oficjalnie potwierdza tweet:
Badger otrzymał raporty o nieautoryzowanych wypłatach środków użytkownika.
Gdy inżynierowie Badger badają to, wszystkie inteligentne kontrakty zostały wstrzymane, aby zapobiec dalszym wypłatom.
Nasze dochodzenie jest w toku i jak najszybciej opublikujemy dalsze informacje.
— „adgerDAO” (@borsukDAO) 2 grudnia 2021
Po zidentyfikowaniu ataku przez Badgera platforma zawiesiła wszystkie operacje związane z inteligentnymi kontraktami, skutecznie wyłączając platformę. Użytkownikom doradzono, aby odrzucali wszelkie transakcje na adresy atakującego.
Naruszenie danych GoDaddy: włamanie dotknęło 1,2 miliona witryn WordPress
Mimo że hakerzy ukradli fundusze w środę wieczorem, o złośliwe uprawnienia można było poprosić na długo przed atakiem.