В ходе одного из самых дорогостоящих ограблений, которые когда-либо видела индустрия криптовалют, фишинговая атака обошлась токенам BadgerDAO в миллионы долларов в начале этой недели. Протокол опубликовал подробный анализ несанкционированных транзакций, которые привели к огромной потере средств.
В «Техническом постмортеме» опубликовано команда протокола в партнерстве с фирмой по кибербезопасности Mandiant подчеркнула, что инцидент с фишингом, произошедший 2 декабря, был результатом «злонамеренно внедренного фрагмента, предоставленного Cloudflare Workers».
Cloudflare — это интерфейс, который позволяет пользователям запускать сценарии, которые «работают с веб-трафиком и изменяют его по мере его прохождения через прокси Cloudflare».
В отчете также добавляется, что злоумышленник развернул такой сценарий с помощью скомпрометированного ключа API, который он создал путем успешного обхода инженеров Badger. Этот доступ к API позволил злоумышленнику (-ам) впоследствии периодически внедрять вредоносный код в протокол, так что это затрагивает только часть пользовательской базы.
Первоначальная диагностика атаки объяснила, что, незаметно запрашивая дополнительные разрешения у пользователей, взаимодействующих с хранилищами Badger, злоумышленники получили разрешения на отправку токенов пользователей на их собственный адрес.
Согласно анализу BadgerDAO, атака началась еще в августе-сентябре. Пользователи Cloudflare впервые заметили, что неавторизованные пользователи могут создавать учетные записи, а также могут создавать и просматривать (глобальные) ключи API без завершения процесса проверки электронной почты, отметив, что после проверки электронной почты злоумышленнику будет предоставлен доступ к API.
Бэджер обнаружил, что в августе и сентябре были созданы три таких аккаунта, которым были предоставлены ключи API без авторизации. Этот доступ к API был использован злоумышленником 10 ноября для внедрения вредоносных скриптов через Cloudflare Workers на веб-страницу протокола. Тот же самый перехватал транзакции web3 и побудил пользователей разрешить одобрение внешнего адреса для работы с токенами ERC-20 в их кошельке.
Далее в анализе отмечалось,
«В атаке злоумышленник использовал несколько методов защиты от обнаружения. Они применяли и удаляли сценарий периодически в течение ноября, часто на очень короткие периоды времени. Злоумышленник также нацелился на кошельки только с определенным балансом ».
Как только в Discord появлялись предупреждения о подозрительно крупной транзакции, протокол приостанавливал большую часть активности хранилища в течение 30 минут, в то время как те, у которых был более старый контракт, останавливались примерно через 15 часов. Спасительная благодать была в протоколе БИП-33, что дает ему возможность приостанавливать контракты, утвержденные в опекунском контракте, останавливая выполнение всех видов транзакций.
Тем не менее, общая потерянная стоимость составила более 130 миллионов долларов, из которых только 9 миллионов долларов могут быть возмещены, согласно сообщению в блоге. Протокол работает над возвращением некоторых средств, которые были переведены эксплуататором, но еще не выведены из хранилищ Badger. Он также поддерживает контакты с Chainalaysis, Mandiant и криптовалютными биржами, а также с властями США и Канады.
Кроме того, Badger также завершит сторонние аудиты всей инфраструктуры web2 и web3, прежде чем перезапустить протокол, с планами проведения хакерских и образовательных мероприятий.
Фаза восстановления также включает БИП-76, который направлен на обновление смарт-контрактов. Это позволит спасти пользовательские средства, улучшить функцию приостановки и ввести дополнительные меры безопасности посредством занесения в черный список.
