Поредният DeFi протокол стана жертва на сериозен хак, след като Badger DAO съобщиха, че са забелязали „неоторизирани тегления“ от своя протокол.
Badger has received reports of unauthorized withdrawals of user funds.
— ₿adgerDAO 🦡 (@BadgerDAO) December 2, 2021
As Badger engineers investigate this, all smart contracts have been paused to prevent further withdrawals.
Our investigation is ongoing and we will release further information as soon as possible.
Първоначално BadgerDAO съобщи, че са били откраднати $10 милиона, въпреки че докладите на компанията за сигурност и блокчейн анализи PeckShield приближават това число до $115 милиона, над 2,063 BTC. Един от потребителите дори е загубил 900 BTC.
Мисията на BadgerDAO, както я описват, е да „донесе Биткойн в DeFi“ чрез създаване на различни 'wrapped' Биткойн продукти.
За разлика от много други хакове на DeFi протоколи, този изглежда не е атака срещу самия протокол, а по-скоро уеб интерфейса, свързващ протокола с портфейлите на потребителите към протокола.
Не Пропускай: Три години затвор за оператор на нелицензиран обмен на Биткойн в САЩ
В Discord сървъра на BadgerDAO много потребители се оплакаха, че когато портфейлите им взаимодействат с BadgerDAO, те са били засегнати от заявки за допълнителни разрешения и след това са прехвърляли токени към портфейли, контролирани от хакерите.
„Изглежда, че куп потребители са имали зададени одобрения за адреса на експлойта, което му позволява да работи с техните средства в трезора“, пише разработчикът на Badger Tritium в Discord.
Понастоящем BadgerDAO реши да постави на пауза всички смарт договори, за да предотврати по-нататъшни тегления, докато разследва допълнително.
Токенът за управление на BadgerDAO BADGER рязко се понижи след тази новина.
Основателят на BadgerDAO, Крис Спадафора още не е реагирал на новината в Twitter към момента на публикуването.
Притежателите на токени са отговорни за одобряването на промените в децентрализирания протокол на Етериум, но интерфейсът Badger.com е отделен от Етериум смарт договорите на проекта.
Според Mitche50 от екипа на Badger Core:
Изглежда, че API ключ за cloudflear е бил компрометиран. Чрез това хакерът успява да създаде скрипт, да го инжектира в персонализирани маршрути.
Cloudflare е широко използвана американска инфраструктурна компания за уебсайтове, която осигурява мрежа за доставка на съдържание и помага на сайтовете да се защитават срещу атаки за отказ на услуга.
Сред нерешените въпроси са колко време е действал този експлойт и защо е останал неоткрит? Mitche50 каза, че „разследването продължава“.
Също така не е ясно дали засегнатите потребители ще могат да бъдат компенсирани за загуби от DAO или от застрахователния протокол Nexus Mutual, който предлага застраховка на BadgerDAO при ставка от 2.6% годишно.
ПРОЧЕТИ ОЩЕ: Лош съвет води до загубата на 1,000 биткойна и множество арести
Условията на застрахователите отбелязват, че застраховката покрива само „бъгове в договорите, икономически атаки, включително неуспехи на оракул [и] атаки по управлението на мрежата“.
Въпреки че този хак е значим, той бледнее в сравнение с някои от най-големите успешни експлойти, които се случиха срещу DeFi протоколи тази година. Например, през август хакери избягаха с близо $600 милиона, след като използваха грешки в Poly Network.
