原文(英)BadgerDAODeFiハックで1億2000万ドルが失われました
2021-12-02 21:22:11
重要なポイント
- BadgerDAOは大きなフロントエンド攻撃を受けました。
- 伝えられるところによると、ハッカーは、ユーザーに資金を使う許可を与えるように促す悪意のあるスクリプトを挿入することにより、アナグマのユーザーインターフェイスを侵害しました。
- スマートコントラクト監査会社のペックシールドは、盗まれた資金の価値を約1億2000万ドルと見積もっています。
この記事を共有する
イーサリアムでトークン化されたビットコインで利回りを稼ぐためのDeFiプロトコルであるBadgerDAOは、攻撃の犠牲になっています。 伝えられるところによると、ハッカーは悪意のあるスクリプトをプロトコルのフロントエンドWebサイトに追加し、スマートコントラクトトランザクションを承認するようユーザーに促し、スクリプトにウォレットから資金を引き出す無制限の許可を与えました。
BadgerDAOはフロントエンド攻撃に苦しんでいます
30,000人以上のアクティブユーザーと合計12億ドルの価値がロックされているDeFiプロトコルであるBadgerDAOが悪用されています。
攻撃は水曜日の初めに発生しました。 その後すぐに、影響を受けた多くのユーザーが、ウォレットからの疑わしい発信トランザクションを報告しました。
攻撃者は、スマートコントラクトではなく、プロトコルのフロントエンドWebサイトを悪用した疑いがあります。 ハッカーは、アナグマのWebサイトに悪意のあるスクリプトを挿入し、ユーザーに「許可を増やす」トランザクションを提示しました。これにより、攻撃者は、トランザクションを承認した場合に、ユーザーがボールトに預けた資金を使い切るための無制限の許可を得ることができました。
BadgerDAOは、今朝早くにエクスプロイトを認めました。 Twitterの声明で、チームは「ユーザー資金の不正な引き出しの報告を受けた」ことを確認しました。 チームはプロジェクトのスマートコントラクトを一時停止し、現在この問題を調査しています。
Badgerは、ユーザー資金の不正な引き出しの報告を受けています。
Badgerのエンジニアがこれを調査しているため、それ以上の撤回を防ぐために、すべてのスマートコントラクトが一時停止されています。
調査は継続中であり、できるだけ早く詳細情報を公開します。
—₿adgerDAO🦡(@BadgerDAO) 2021年12月2日
オンチェーンデータによると、 運営契約 攻撃者は11月20日に作成されました。攻撃者は、複数のユーザーが契約を承認するまで待ってから、今朝一度に資金を使い果たし始めたようです。
プロジェクトのDiscordサーバーでのエクスプロイトについてコメントし、Badgerのコア貢献者であるTritiumは次のように書いています。
「多くのユーザーがエクスプロイトアドレスの承認を設定しているようです。 [the address] 彼らの金庫資金で運営するために、そしてそれは悪用されました。」
スマートコントラクト監査会社のペックシールドは 推定 総損失は約1億2000万ドルになります。 伝えられるところによると、1人のユーザーが1回の取引で900近くのビットコイン(現在は約5,070万ドル相当)を失いました。
一部のユーザーは、5日前までこのエクスプロイトに気づき、BadgerDAO開発者に問題をエスカレートしたと報告されています。 しかし、チームはこの問題をほとんど無視しているようです。 スクリーンショット TwitterユーザーのDeFiAhabによる投稿によると、Foodtureという名前のDiscordメンバーがチームに「許容量の増加」プロンプトを警告した後、Badgerチームメンバーのblackbearが懸念を却下したのは、「UIが少しバグがあったためだと思われる」と述べたためです。 。」
影響を受けるユーザーは、ハッカーの追跡専用のDiscordチャネルをすでに作成しています。 投稿された情報は、攻撃者がエクスプロイトに関連するいくつかのトランザクションを実行したことを示唆しています。これは、Know Your Customer(KYC)要件を使用した集中型の交換にまでさかのぼることができます。 これにより、理論的にはハッカーの追跡が容易になります。
Discordチャネルの最近のコメントから判断すると、コミュニティメンバーとBadgerのコア貢献者は、攻撃者をすでに特定していると確信しています。 ペックシールドもこの理論を支持しているようですが、 ツイート その「進歩があった」とほぼ同時に、ハッカー容疑者に関連する情報がチャンネルに表示され始めました。
DeFiはここ数か月で他の同様の攻撃に見舞われましたが、攻撃者がスマートコントラクトではなくプロジェクトのユーザーインターフェイスを侵害したこの特定のタイプのエクスプロイトは、この規模ではめったに見られません。 1億2000万ドルの損失で、これはこれまでで最大のDeFiハックの1つです。
プロジェクトのネイティブトークンであるBADGERは、この事件によって大きな打撃を受けました。 今日は17.5%下落しており、プレス時には22.05ドルで取引されています。
この記事を共有する
クリームファイナンスが別のフラッシュローン攻撃に苦しんでいるため、1億3600万ドルが失われました
分散型融資プロトコルであるCreamFinanceは、大規模なフラッシュローン攻撃に見舞われました。 加害者はAaveから20億ドルを借りて、1億3600万ドル以上の価値を手に入れました…
最新のDeFi攻撃でAnubisDAOから6000万ドルが盗まれた
AnubisDAOは、未知のエンティティがプロジェクトのオークションプールから6000万ドルを盗んだ攻撃に苦しんでいます。 AnubisDAOから排出された資金ラグが疑われる場合、新しく発売されたAnubisDAOをプルします…
2,500万ドルの攻撃の犠牲者に返済するPopsicleFinance
DeFiプラットフォームのPopsicleは、8月に発生した2500万ドルの攻撃の犠牲者に払い戻しを行うことを発表しました。 資金はユーザーに返済されますPopsicleチーム…
SocialGoodがオンラインショッピングで100%暗号キャッシュバックを提供する方法
近年、ビットコインとトークン化された資産の台頭により、キャッシュバックは混乱の危機に瀕しています。 キャッシュバック市場では、ブロックチェーンベースのロイヤルティネットワークの人気が高まっています…
元ソース
続き・詳細はこちら
BadgerDAODeFiハックで1億2000万ドルが失われました
