これがBadgerDAOの1億2000万ドルのエクスプロイトがどのように実行されたかです、とRektは説明します

木曜日の早い段階で、ビットコインDeFiプロトコルBadgerDAOのニュースは、暗号通貨業界に衝撃を与えた1億2000万ドルのエクスプロイトに見舞われました。 プラットフォームが攻撃の初期診断を共有している間 ツイッター、Rektブログは今、 詳細な事後分析 ハックの。 「アナグマは死んでいる」と書かれていました。

Rektによると、攻撃はアプリケーションのフロントエンドで発生していました。 悪用者は、ユーザーのトークンを自分のアドレスに送信するための追加の承認を挿入することができました。 失われた信頼は、攻撃者が自分の財布を埋めるために使用されました。

分析プラットフォームのDeFi利回りも 重量を量った 同じように、

「多くの影響を受けたユーザーは、収穫農業の報酬を受け取り、アナグマの金庫を利用している間、彼らのウォレットプロバイダーは追加の許可を求める偽の要求を彼らに促したと主張しました。」

Rektはさらに、Badgerチームがエクスプロイトのニュースを聞くとすぐに、プロジェクトのスマートコントラクトを一時停止したと説明しました。 悪意のあるトランザクションが最初に開始されてから、これはすでに約2.5時間経過していました。 いずれにせよ、これは 「珍しい」機能 チームがすべてのアクティビティを一時停止し、資金の転送を停止できるようにするBadgerのコード。

プロトコルがユーザーにイーサリアムのラップされたBTCバリアントで利回りを獲得するためのボールトを提供したため、攻撃で失われたデジタル資産の大部分はボールト預金トークンでした。 盗まれたトークンは、それを裏付ける基盤となるビットコインを使用してキャッシュアウトされましたが、ERC20トークンはイーサリアムに残りました。 ブログはさらに説明しました、

「ユーザーが正当な預金と報酬の請求取引を行おうとしたときに承認が提示され、攻撃者がユーザーのアドレスから直接BTC関連のトークンを転送できる無制限のウォレット承認の基盤が構築されました。」

500を超えるアドレスがハッカーのアドレスを承認し、そのような悪意のある最初の承認は2週間以上前に行われました。 ペックシールドによると。 これは、それ以降プラットフォームを操作している人が、攻撃者の資金流出要求を無意識のうちに承認した可能性があることを意味します。

さらに、エクスプロイトに関する最初の危険信号は 上げた Rektによると、転送が開始される12日前のDiscordのユーザーによると、Badgerはこれらの問題に対処または調査できなかったと付け加えました。 ブログの投稿には、経験豊富なユーザーでもそのような活動を簡単に見つけられたかもしれないと書かれています。

ただし、DeFiが主流に受け入れられるためには、プラットフォームは安全対策を合理化する必要があります。 このエクスプロイトは、フラッシュローンのエクスプロイトで1億3000万ドルを失ったCream Financeと、秘密鍵が侵害されて1億4000万ドルの損失をもたらしたBXHプロトコルに次ぐ、DeFiYieldによってDeFiエコシステムでこれまでに発生した4番目に大きいランクにランクされています。 。

このリストのトップは、悪用者がネットワーク上に悪意のあるスマートコントラクトを展開した後、8月に6億300万ドルの損失を被ったPolyNetworkです。 ポリネットワークの資金のほとんどはホワイトハットアタッカーによって返還されましたが、すべてのネットワークがそれほど幸運だったわけではありません。

DeFiYieldからのデータ 提案する DeFiハッキングで全体的に失われた23.3億ドル以上のうち、6億8200万ドルしか返還されていません。