DeFi第四大惨案:Badger DAO遭前端攻击,损失达1.2亿美元_陀螺科数字货币代理招商

/ / 2015-10-25
注:原文来自Rekt。 以下是全文编译 道杀,“獾”死了。 1亿2000万美元的资金被各种形式的wBTC和ERC20令牌夺走。 前端攻击加大了Badger DAO的损失,被盗金额排在DeFi攻击...

注:原文来自Rekt。 以下是全文编译

道杀,“獾”死了。

1亿2000万美元的资金被各种形式的wBTC和ERC20令牌夺走。

前端攻击加大了Badger DAO的损失,被盗金额排在DeFi攻击的第四位。

rekt.news再次强调:

无限的认可意味着无限的信任。 我知道DeFi不应该这样做。

但是,如果前端被破坏了,我们是否应该期待普通用户能够通过钱包的批准发现非法合同呢?

由于未知方插入了其他授权,用户将令牌发送到攻击者的地址。 从2021年12月2日00:08:23开始,攻击者使用这些错误的信任承认美美吃饭。

当用户地址被缩小的消息传到Badger时,小组宣布暂停项目智能合约,恶意交易在开始2小时20分左右开始失效。

BadgerDAO的目标是将比特币带入DeFi。 这个项目由各种各样的金库构成,用户可以在以太网上得到wBTC的收益。

据悉,被盗资产大部分是金库的存款令牌,被兑现,下级BTC桥接至比特币网络,ERC20令牌留在以太坊。

这里总结了被盗资金现在的位置,以便可以看到。

另外,该项目的Cloudflare账户流失的传言也一直流传,其他安全漏洞也一样。

当用户进行合法存款并尝试申请激励时,这些虚假授权将被弹出,为攻击者直接从用户地址移动BTC相关令牌奠定了无限钱包授权的基础。

据Peckshield称,黑客地址的首次批准案例是近两周前。 之后,与平台打交道的人可能会无意中批准攻击者窃取资金。

据说有500多个地址批准了黑客的地址

0x1FCD B04 D0 C 5364 FBD 92 c 73 CA8 AF9BAA 72 c 269107

请立即检查您的批准情况,并在此取消:

etherscan.io/tokenapprovalchecker

交易示例:枯竭~900 byvWBTC,价值5000万美元以上。 受害者约6小时前用increaseAllowance ()函数批准了攻击者的地址,允许攻击者不受限制地使用资金。

最终,Badger的传输自()函数的quot; 由于不寻常的功能,小组暂停了所有活动,防止了资金进一步流失。

如果像Badger这样声誉卓着的长期项目如此受到打击,而DeFi的一些大佬项目也差点重疾险,DeFi用户就不能对最大bags的安全性过于放心。 多样化是生存的关键。

人们通常会检查URL,强调与适当的渠道进行交流,但在这种情况下对用户没有帮助。

请知道。 前端至少在12天前被操纵了。

那么Badger为什么没有注意到呢?

11月28日,一位用户用Discord标记可疑的increaseAllowance ()批准。

为什么找不到Badger的开发者呢?

对于有经验的用户来说,这种虚假的承认可能很容易发现。 此外,在签署交易之前,通过将地址复制/粘贴到Etherscan上,很容易检查任何合同的有效性。

但是,为了使DeFi达到“大规模采用”,必须简化这些额外的预防措施。

在那之前,只能用很多好钱包谨慎行事。

1