Рано в четверг новости Bitcoin Протокол DeFi BadgerDAO пострадал от эксплойта на 120 миллионов долларов, который шокировал криптовалютную индустрию. Хотя платформа поделилась первоначальным диагнозом атаки на Twitter, в блоге Rekt появился подробное вскрытие взлома. В нем говорилось: «Барсук мертв».
По словам Rekt, атака произошла на внешнем интерфейсе приложения. Злоумышленник смог вставить дополнительные разрешения для отправки токенов пользователей на их собственный адрес. Утраченное доверие затем было использовано злоумышленником для пополнения своего кошелька.
Платформа аналитики DeFi также дает взвешен о том же, заявляя,
«Многие затронутые пользователи утверждали, что, получая вознаграждение за выращивание урожая и используя хранилища Badger, их провайдеры кошельков побуждали их ложными запросами на дополнительные разрешения».
Рект далее пояснил, что тогда команда Badger приостановила смарт-контракты проекта, как только они услышали новости об эксплойте. Прошло уже почти 2,5 часа с момента начала вредоносных транзакций. В любом случае это произошло благодаря «Необычная» особенность в коде Badger, который позволяет его команде приостановить все действия и остановить перевод средств.
Большинство цифровых активов, потерянных в результате атаки, были токенами депозита хранилища, поскольку протокол предлагал хранилища для пользователей, чтобы получать доход от упакованных BTC варианты на Ethereum. Похищенные жетоны были обналичены с использованием базовых Bitcoin это поддерживало его, в то время как токены ERC20 оставались на Ethereum. Далее в блоге поясняется,
«Утверждения представились, когда пользователи попытались сделать законный депозит и транзакции с требованием вознаграждения, создав базу неограниченных разрешений кошелька, которые позволили злоумышленнику осуществить перевод BTC связанные токены прямо с адреса пользователя ».
Более 500 адресов одобрили адрес хакера, причем первое такое злонамеренное одобрение произошло более двух недель назад. по словам Пекшилда. Это означает, что любой, кто с тех пор взаимодействует с платформой, мог неосознанно одобрить запрос злоумышленника на слив средств.
Более того, первым поводом для беспокойства по поводу эксплойта был поднятый пользователем Discord за 12 дней до начала передачи, по словам Ректа, который добавил, что Badger не смог решить или изучить эти проблемы. В сообщении блога также говорилось, что даже опытные пользователи могли легко заметить такую активность.
Однако для того, чтобы DeFi стал популярным, платформам необходимо будет оптимизировать меры предосторожности. DeFiYield оценил этот эксплойт как четвертый по величине из когда-либо имевших место в экосистеме DeFi, сразу после Cream Finance, который потерял 130 миллионов долларов из-за эксплойта флэш-кредита, и протокола BXH, в котором были скомпрометированы закрытые ключи, что привело к убыткам в 140 миллионов долларов. .
Возглавляет список компания Poly Network, которая в августе понесла убытки в размере 603 миллионов долларов после того, как злоумышленники развернули в сети вредоносные смарт-контракты. Хотя большая часть средств Poly Network была возвращена атакующим White Hat, не всем сетям повезло.
Данные от DeFiYield предлагает что из более чем 2,33 миллиарда долларов, которые в целом были потеряны в результате взлома DeFi, только 682 миллиона долларов были возвращены.
