DeFi第四大惨案:Badger DAO遭前端攻击,损失达1.2亿美元

区块链安全 2年前 (2021) admin
766 0 0

DeFi第四大惨案:Badger DAO遭前端攻击,损失达1.2亿美元



注:原文来自Rekt,以下为全文编译


DeFi第四大惨案:Badger DAO遭前端攻击,损失达1.2亿美元


路杀,“獾”已死。


1.2亿美元资金以各种形式的wBTC和ERC20代币被夺走。


前端攻击使Badger DAO损失惨重,被盗金额排DeFi攻击第四‌。


rekt.news再次强调:


无限的批准意味着无限的信任–我们知道在DeFi中我们不应该这样做。


但是,如果前端被破坏,是否应该期望普通用户能够通过钱包的批准来发现非法的合约呢?


一个未知方插入了额外的批准,致使用户将代币发送到了攻击者的地址。从2021年12月2日00:08:23开始,攻击者使用这些错误的信任批准美美饱餐了一顿。


当用户的地址被榨干的消息传到Badger时,团队宣布暂停项目的智能合约,恶意交易在开始2小时20分钟左右开始失效。


BadgerDAO的目标是将比特币带到DeFi。该项目由各种金库组成,供用户在以太坊上获得wBTC的收益。


据悉,绝大多数的被盗资产是金库存款代币,然后被兑现,底层的BTC则被桥接回比特币网络,任何ERC20代币则留在以太坊上。


这里总结了被盗资金的当前位置 ,以供查看。


此外,关于该项目Cloudflare账户被泄露的传言也一直在流传,其他安全漏洞‌也是如此。


DeFi第四大惨案:Badger DAO遭前端攻击,损失达1.2亿美元


当用户试图进行合法的存款并申请奖励时,这些虚假的批准会被弹出来,以建立一个无限钱包批准的基础,允许攻击者直接从用户的地址转移BTC相关代币。


根据Peckshield的说法,黑客地址的第一个批准实例是近两周前。此后任何与平台互动的人,都可能在无意中批准了攻击者盗取资金。


DeFi第四大惨案:Badger DAO遭前端攻击,损失达1.2亿美元


据悉,共有超过500个地址批准了黑客的地址:

0x1fcdb04d0c5364fbd92c73ca8af9baa72c269107


请立即检查你的批准情况并在此撤销: 

etherscan.io/tokenapprovalchecker


交易实例:耗尽~900 byvWBTC,价值超过5000万美元。受害者在大约6小时前通过increaseAllowance()函数批准了攻击者的地址,致使攻击者可以无限制地花费资金。


DeFi第四大惨案:Badger DAO遭前端攻击,损失达1.2亿美元


最终,由于Badger的transferFrom()函数的一个 "不寻常 “的功能,团队暂停了所有活动,防止了资金的进一步流失。


DeFi第四大惨案:Badger DAO遭前端攻击,损失达1.2亿美元


如果像Badger这样声誉卓著的长期项目会被这样打击,而且DeFi中的一些大佬项目也险些遭重,那么DeFi用户就不能对他们最大bags的安全性过于放心。多样化是生存的关键。


尽管人们通常强调要检查URL,并确保你与适当的渠道进行互动,但在这种情况下,并不会帮到用户。


要知道,前端至少在12天前就被操纵了。


那么Badger怎么没有注意到呢?


11月28日,一名用户在Discord中标记了可疑的 increaseAllowance() 批准。


DeFi第四大惨案:Badger DAO遭前端攻击,损失达1.2亿美元


为什么Badger的开发人员没有查到呢?


对于有经验的用户来说,这类虚假的批准可能很容易发现,而且在签署交易之前,通过复制/粘贴地址到Etherscan,检查任何合约的有效性都很容易。


但是,为了让DeFi达到”大规模采用”,这些额外的预防措施必须被简化。


在那之前,我们只能多用良好的钱包并审慎行事。



DeFi第四大惨案:Badger DAO遭前端攻击,损失达1.2亿美元

本公众号所载文章中观点仅代表原作者个人立场,不代表元宇宙之道立场。投资者不应将文中观点、结论为作出投资决策的惟一参考因素,亦不应认为文中观点可以取代自己的判断。在决定投资前,如有需要,投资者务必向专业人士咨询并谨慎决策。


加入元宇宙之道社区

中文电报频道:https://t.me/defizhidao

中文电报社区:https://t.me/defi_dao

Discord深度社区: https://discord.gg/defidao


干货持续更新中,敬请关注……

DeFi第四大惨案:Badger DAO遭前端攻击,损失达1.2亿美元



原文始发于微信公众号(元宇宙之道):DeFi第四大惨案:Badger DAO遭前端攻击,损失达1.2亿美元

版权声明:admin 发表于 2021年12月3日 上午10:02。
转载请注明:DeFi第四大惨案:Badger DAO遭前端攻击,损失达1.2亿美元 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...