月亮链 月亮链
Ctrl+D收藏月亮链

DGE:Badger DAO用户被盗超1.2亿美元:“批准”权限被恶意使用导致的惨案_BADGER

作者:

时间:1900/1/1 0:00:00

作者:谷昱

在过去的DeFi安全事故中,用户钱包的“批准”权限被恶意利用的情况屡见不鲜,许多DeFi用户被高APY吸引,向恶意项目网站批准了无上限的代币使用权限,导致钱包资产在不知情的情况下被项目方团队盗走,损失惨重。

如今,知名协议BadgerDAO用户也成为了受害者。12月2日上午,多名BadgerDAO用户在Discord首先反映了资产被盗的情况,经过讨论则发现问题在于Badger.com用户界面,即用户界面被黑客攻击并植入恶意钱包请求,诱导BadgerDAO用户为恶意地址批准代币使用权限,而不是项目智能合约存在问题。

DeFi平台BadgerDAO披露被盗1.2亿美元细节:12月11日消息,在本周的一篇博客文章中,DeFi平台BadgerDAO 披露了本月早些时候遭黑客攻击被盗1.2亿美元的细节。BadgerDAO 表示,12 月 2 日发生的网络钓鱼事件是由运行在 Badger 云网络上的应用平台 Cloudflare 的“恶意注入片段”引起的。黑客使用在 Badger 工程师不知情或未授权的情况下创建的受损 API 密钥定期注入影响其部分客户的恶意代码。

黑客最终窃取了 1.2亿美元的资金,但其中大约 900 万美元是可以追回的,因为这些资金是由黑客转移的,但尚未从獾的金库中取出。

Badger 此后修补了 Cloudflare 漏洞,更新了 Cloudfare 的帐户密码,并在可能的情况下删除或更新了 API 密钥。

Badger 聘请了网络安全公司 Mandiant 和区块链分析公司 Chainalysis 来调查这一漏洞,并正在与两家公司以及美国和加拿大的当局合作,以追回任何可能的资金。

此前报道,去中心化组织BadgerDAO遭受黑客攻击,损失达1.2亿美元,包括约2,100枚BTC和151枚ETH。(coindesk)[2021/12/11 7:32:02]

“当用户试图进行合法的存款和奖励领取交易时,这些批准就会出现,建立一个无限制的钱包批准基础,允许攻击者直接从用户地址转移与BTC相关的代币。”知名安全博客网站rekt表示。

Badger DAO财报:上线半年总收入超过1810万美元:6月7日消息,专注于将比特币带入DeFi的去中心化组织BadgerDAO发布财务报告,据报告显示,自12月上线以来,BadgerDAO的总收入超过1810万美元,超过90%的收入来自核心策略;5月,DAO在桥(Bridge)和ibBTC在内的所有产品线中产生了超过280万美元的收入。[2021/6/7 23:17:01]

根据安全公司PeckShield的统计,BadgerDAO用户总损失约为2100BTC和151ETH,约合1.2亿美元,这也是今年被盗金额最高的DeFi安全事故之一。其中,有单个用户损失超过900个BTC。

Badger DAO提案建议创建BTC支持的稳定币BAI:据官方消息,去中心化组织Badger DAO社区发起提案,创建BTC支持的稳定币BAI,包括wBTC、renBTC以及未来其它BTC衍生品。[2021/4/20 20:38:58]

Badger核心贡献者Tritium在Discord上表示:“看起来一堆用户已经为恶意攻击地址设置了批准,允许该地址]使用他们的金库资金并且被利用了。”

“一旦我们注意到该事件,就冻结了所有的金库,所以没有任何资金可以移动,并试图弄清楚批准的来源,有多少人拥有它们,以及下一步是什么,”他补充道。

据了解,BadgerDAO的目标是将比特币引入DeFi。该项目由各种金库组成,供用户在以太坊上获得包装版BTC的收益。绝大多数被盗资产是金库存款代币,黑客已经将其兑现并通过BTC桥接回比特币网络,而所有ERC20代币仍留在以太坊上。

据Coindesk报道,虽然大部分资金在周四上午被转走,但恶意许可请求可能是在攻击前几周提出的。尽管协议合约已暂停,但社区成员建议存款人使用Debank和Unrekt等工具撤销恶意合约的权限。

受该消息影响,BadgerDAO代币24小时内下跌超21%,目前价格为21.4美元。

此前,以太坊保险项目NexusMutual曾集成BadgerDAO项目,支持用户使用ETH或DAI在该平台购买关于BadgerDAO的保单,但本次攻击事件发生,该项目发推称如果这被确认为前端攻击,BadgerDAO的智能合约没有受到影响,这不会是一个保险事件。

那么,普通用户应该如何避免“批准”权限被恶意攻击的情况?

推特用户@CryptoCatVC指出,不要相信网站的用户界面,建议用户手动从metamask数据中取出智能合约地址,在Etherscan上查看合约,了解合同是全新的吗、谁部署的、部署者的资金从何而来、是代理吗等问题。

同时,你需要知道你批准了多少数量的代币,永远不要批准超过你计划使用的数量,以后你可以随时批准更多。你要对代理的批准要格外严格,因为这往往代表着批准很多次的实施。

?

标签:DGEADGBADGERBADGadgetwarBADGERBadger DAObadger币创始人

火币网下载官方app热门资讯
CELO:a16z宣布投资社交 DAO“Friends with Benefits”,投资金额未公布_H2O DAO

链捕手消息,风投机构a16z宣布投资社交DAO“FriendswithBenefits”,投资金额未公布。a16z称将对其提供指导,并计划通过授权赋予主要社区成员权力积极参与治理.

1900/1/1 0:00:00
RUM:自动做市协议Balancer新增TUSD流动性挖矿_Binance USD

链捕手消息,自动做市协议Balancer在Polygon和Arbitrum同时新增TUSD流动性挖矿.

1900/1/1 0:00:00
TVL:每周DeFi数据观察 | 各公链TVL涨至新高,52个项目TVL超过10亿美元_DEF

整理:念青本周,DeFi市场继续保持上升态势,各大公链DeFi项目TVL达到2690亿美元,其中11月9日冲至2750亿美元高点.

1900/1/1 0:00:00
元宇宙:大摩万字深度:元宇宙,改良还是革命?_元宇宙沉浸式体验馆

本文来自华尔街见闻。随着Facebook更名为Meta,投资者越来越好奇未来元宇宙到底是什么样子的.

1900/1/1 0:00:00
MBL:MIM 正在挑战 MakerDAO?读懂 MIM 发明者的三个 DeFi 项目_EFI

撰文:Karen过去两个月内,基于生息资产的借贷协议Abracadabra的治理代币SPELL暴涨60倍,同期锁仓量激增7倍达到了近30亿美元.

1900/1/1 0:00:00
ETH:链上操作实用工具网站大盘点_以太坊

本文旨在提供链上常用工具网站信息,并将不定期更新。综合类:Nansen:最全面的加密货币可视化分析工具之一,可跟踪特定代币的持币情况以及巨鲸地址变动等丰富数据,许多知名行业KOL都在使用.

1900/1/1 0:00:00