Újabb DeFi támadás, most a BadgerDAO protokoll lett az áldozat
A BadgerDAO támadás során több millió dollárt loptak el a protokolltól, amely ezzel a negyedik legnagyobb támadásnak számít valamilyen decentralizált pénzügyi megoldás ellen.
December 2-án a Bitcoin DeFi protokoll, a BadgerDAO egy hatalmas kibertámádást szenvedett el, amely során 120 millió dollár értékben loptak el kriptovalutákat. A Rekt blog belemélyedt a részletekbe, és egy post mortem vizsgálatot indított, amit a „roadkill” címkével látott el.
A támadó a BadgerDAO decentralizált alkalmazás egy frontend hibáját használta ki. A Rekt vizsgálata szerint a rosszindulatú támadó nagyon sok jóváhagyási kérelmeket küldött be, hogy felhasználói tokeneket küldhessen a saját címére. Ezt tudta kihasználni a tokenek ellopására.
A DeFiYield, amely a BadgerDAO támadást a negyedik helyre rangsorolta a DeFi támadások listáján, így magyarázta az esetet:
„Sok érintett felhasználó azt állította, hogy miközben hozamvadászatból származó jutalmakat kaptak a BadgerDAO interakció során, a saját kriptotárca-szolgáltatóik hamis kérelmeket kaptak extra engedélyekre.”
Túl kevés, túl késő BadgerDAO-nak
A BadgerDAO azonnal leállította a rendszert, amikor megjelent a hír, hogy a tárcáikat kiürítették, de két óra 20 perccel a támadás kezdete után már túl késő volt ez a beavatkozás. Az ellopott eszközök többsége betéti token volt, amelyek mögött a Bitcoinok voltak fedezetként, és ezeket lopták el.
A BadgerDAO számos szolgáltatást kínált, amelyek hozamot generáltak a becsomagolt Bitcoinon keresztül. A zászlóshajó terméke a Sett Vault volt, ahol a felhasználók tokenizált BTC-t helyezhettek el, ami által automatizált hozamot generálhattak.
A Rekt kifejtette, hogy a jóváhagyások akkor jelentek meg, amikor a felhasználók megkísérelték jogos befizetéseket és jutalom kiutalási tranzakciókat indítani. Ennek eredményeként „olyan korlátlan számú tárca-jóváhagyási kérelem jött létre, amely lehetővé tette a támadó számára, hogy a BTC-vel kapcsolatos tokeneket közvetlenül a felhasználó címéről továbbítsa saját címére”.
A Peckshield, egy kiberbiztonsági cég szerint a hacker címének a jóváhagyása csaknem két hete történt. Bárki, aki azóta kapcsolatba lépett a platformmal, véletlenül jóváhagyhatta a támadónak, hogy megcsapolja a saját egyenlegét.
A Peckshield hozzátette, hogy egy felhasználó a támadás előtt jelezte a Discord-on a hamis jóváhagyási kérelmeket, de a Badger nem vizsgálta ki az esetet.
A szerencsétlenül járt DeFi protokoll most a Cream Finance mögött áll a támadási ranglistán. A Cream Finance 130 millió dollárt veszített egy korábbi támadás során, a BXH protokoll esetében pedig a privát kulcsok kompromittálódása 140 millió dolláros veszteséget okozott. A lista elején pedig a Poly Network áll.
A BADGER árfolyam beesett
Ahogy várható volt, a BADGER árfolyama 25%-os visszaeséssel reagált a hírre. A cikk írásakor a tokennel 20 dollár körül kereskednek a CoinGecko szerint. Az árfolyamcsúcsot a token február 9-én érte el, akkor 89 dollárt fizettek egy tokenért.