BadgerDAOがエクスプロイトの背後にある原因を明らかにし、復旧計画の詳細

暗号通貨業界がこれまでに見た中で最も費用のかかる強盗の1つで、フィッシング攻撃は今週初めに数百万ドル相当のBadgerDAOトークンを犠牲にしました。 プロトコルは、この巨額の資金損失をもたらした不正取引の詳細な分析をリリースしました。

プロトコルのチームがサイバーセキュリティ会社Mandiantと共同で公開した「TechnicalPostMortem」では、12月2日に発生したフィッシングインシデントは「CloudflareWorkersによって提供された悪意を持って注入されたスニペット」の結果であることが強調されました。

Cloudflareは、ユーザーが「Cloudflareプロキシを流れるWebトラフィックを操作および変更する」スクリプトを実行できるようにするインターフェイスです。

レポートはさらに、攻撃者が、アナグマのエンジニアからの回避に成功したことで作成された、侵害されたAPIキーを介してそのようなスクリプトを展開したと付け加えました。 このAPIアクセスにより、攻撃者はその後、定期的にプロトコルに悪意のあるコードを挿入して、ユーザーベースのサブセットのみが影響を受けるようになりました。

攻撃の最初の診断では、攻撃者はBadgerボールトを使用しているユーザーに追加のアクセス許可を密かに要求することで、ユーザーのトークンを自分のアドレスに送信するための承認を受けていたと説明されていました。

BadgerDAOの分析によると、攻撃は早くも8月から9月に始まりました。 Cloudflareユーザーは、許可されていないユーザーがアカウントを作成でき、電子メール検証プロセスを完了せずに（グローバル）APIキーを作成および表示できることに最初に気づきました。電子メール検証時に、攻撃者はAPIアクセスを許可されることに注意してください。

Badgerは、8月と9月に、このような3つのアカウントが作成され、許可なくAPIキーが付与されたことを発見しました。 このAPIアクセスは、11月10日に攻撃者によって使用され、Cloudflareワーカーを介してプロトコルのWebページに悪意のあるスクリプトを挿入しました。 同じインターセプトされたweb3トランザクションにより、ユーザーは、ウォレット内のERC-20トークンを操作するために外部アドレスの承認を許可するように求められました。

分析はさらに、

「攻撃者は、攻撃にいくつかの検出防止技術を使用しました。 彼らは、11月に定期的に、多くの場合非常に短い期間、スクリプトを適用および削除しました。 攻撃者はまた、特定のバランスでのみウォレットを標的にしました。」

Discordで疑わしい大規模なトランザクションに関するアラートが発生すると、プロトコルは30分以内にほとんどのボールトアクティビティを一時停止しましたが、古い契約のトランザクションは約15時間後に停止されました。 節約の恩恵はプロトコルのBIP-33でした。これにより、保護者契約で承認された契約を一時停止し、あらゆる種類のトランザクションの実行を停止することができます。

それにもかかわらず、ブログの投稿によると、失われた総額は1億3000万ドルを超え、そのうち900万ドルしか回収できません。 プロトコルは、搾取者によって転送されたが、まだアナグマの金庫から引き出されていないいくつかの資金の回収に向けて取り組んでいます。 また、Chainalaysis、Mandiant、暗号通貨取引所、および米国とカナダの当局とも連絡を取り合っています。

さらに、Badgerは、プロトコルを再起動する前に、すべてのweb2およびweb3インフラストラクチャのサードパーティ監査も完了し、ハッカソンと教育ドライブの計画もパイプラインにあります。

回復フェーズには、スマートコントラクトのアップグレードを目的としたBIP-76も含まれます。 これにより、ユーザー資金の救済が可能になり、一時停止機能が改善され、ブラックリストに登録することで追加の保護手段が導入されます。