BadgerDAO разкриха причината за скорошния хак

В една от най-скъпите кражби, които индустрията на криптовалутите някога е виждала, фишинг атака струваше на BadgerDAO милиони долари по-рано тази седмица. Протоколът вече публикува подробен анализ на неоторизираните транзакции, които са довели до тази огромна загуба на средства.

В „Technical Post Mortem„, публикуван от екипа на протокола в партньорство с фирмата за киберсигурност Mandiant, беше подчертано, че инцидентът с фишинг атаката, възникнал на 2-ри декември, е резултат от „злонамерено инжектиран фрагмент, предоставен от Cloudflare Workers„.

Cloudflare е интерфейс, който позволява на потребителите да изпълняват скриптове, които „работят и променят уеб трафика, докато преминава през прокси сървъри на Cloudflare„.

В доклада се добавя още, че злосторникът е разположил такъв скрипт чрез компрометиран API ключ, който е създал чрез успешно избягване от инженерите на Badger. Този достъп до API позволява на нападателят впоследствие да инжектира злонамерен код в протокола по периодичен начин, така че да бъде засегната само подмножество от потребителската база.

Първоначалната диагноза на атаката обясни, че чрез тайно искане на допълнителни разрешения от потребители, работещи с хранилища на Badger, нападателите са получили одобрения да изпращат токени на потребителите до техния собствен адрес.

Според анализа на BadgerDAO атаката е започнала още през август-септември. Потребителите на Cloudflare за първи път забелязаха, че неупълномощени потребители са в състояние да създават акаунти и също така могат да създават и преглеждат (глобални) API ключове, без да завършват процеса на проверка на имейл, като отбелязват, че при проверка на имейл на нападателя ще бъде предоставен достъп до API.

Badger установи, че три такива акаунта са били създадени и са получили API ключове без разрешение през август и септември. Този достъп до API беше използван от нападателя на 10-ти ноември за инжектиране на злонамерени скриптове чрез Cloudflare Workers в уеб страницата на протокола. Същите прихванаха Web3 транзакции и подканиха потребителите да разрешат на чужд адрес да работи с ERC-20 токени в портфейла им.

Анализът по-нататък отбелязва,

[Хакерът] е използвал няколко техники срещу засичане в атаката си. Те прилагаха и премахваха скрипта периодично през месец ноември, често за много кратки периоди от време. Нападателят също е нацелил портфейли само над определен баланс.

След като в Discord бяха повдигнати сигнали за подозрително голяма транзакция, протоколът постави на пауза повечето дейности в трезора в рамките на 30 минути, докато тези с по-стар договор бяха спрени приблизително 15 часа по-късно. 

ПРОЧЕТИ ОЩЕ: Биткойн може да скочи с 1,000%, твърди Кати Ууд

Въпреки това общата загубена стойност нарасна до близо $200 милиона, от които само $9 милиона са възстановими, според публикацията в блога. Протоколът работи за възстановяване на някои средства, които са били прехвърлени от експлоататора, но все още не са изтеглени от трезорите на Badger. Също така е във връзка с Chainalaysis, Mandiant и крипто борсите, както и с властите в САЩ и Канада.

Освен това Badger ще завърши одити на трети страни на цялата Web2 и Web3 инфраструктура, преди да пусне отново протокола, като планове за хакатон и образователни дискове също са в процес на подготовка.

Фазата на възстановяване включва и BIP-76, който е насочен към надграждане на смарт договори. Това ще даде възможност за спасяване на средства на потребителите, ще подобри функционалността за паузиране и ще въведе допълнителни предпазни мерки чрез черен списък.

Deyan Angelov

Активен крипто трейдър, следи и новини, свързани с акции, S&P500 и злато. Деян обича да спортува активно, тренира редовно, занимава се с калистеника. Обича и да чете Sci-Fi книги, когато му остане време.