運行在以太坊上的去中心化金融 (Defi) 協議 Badger DAO (BADGER),今日上午驚傳由於前端的漏洞,被駭客盜走超越 1 億美元資金,最大的受害者甚至損失超過 5,270 萬美元。目前官方已經暫停一切合約互動,其原生代幣 BADGER 也一度下跌超過 16%。
(背景補充:Google調查:所有 GCP 帳戶駭客攻擊中,高達 86% 用來雲端挖礦)
(背景補充:加拿大少年駭 SIM 卡竊盜「3,600萬美元加密貨幣」,成為該國史上最大加密竊案)
據外媒《U.today》報導,運行在以太坊上的去中心化金融 (Defi) 協議 Badger DAO (BADGER),今 (2) 日由於前端的惡意攻擊,被駭客轉移超越 1 億美元的用戶資金。
雖然目前官方還未說明詳細的攻擊細節,但據社群的猜測:駭客是利用了 Badger.com 前端用戶界面中的漏洞,而不是協議合約中的漏洞。許多受影響的用戶報告說,在聲稱獲得收益農業獎勵並與 Badger 協議互動時,他們注意到錢包提示了對「額外權限」的虛假請求。
Badger 核心貢獻者 Tritium 在 Discord 上寫道:
看起來一堆用戶已經為漏洞地址設置了批准,允許 [該地址] 使用他們的金庫資金進行操作,並且被利用了。
Badger DAO 團隊在 Twitter 上確認了該漏洞並凍結了一切交易,試圖弄清楚事情的來龍去脈:
Badger 已收到有關未經授權提取用戶資金的報告。
當 Badger 工程師對此進行調查時,所有智能合約都已暫停,以防止進一步提款。
我們的調查正在進行中,我們將盡快發布更多信息。
Badger has received reports of unauthorized withdrawals of user funds.
As Badger engineers investigate this, all smart contracts have been paused to prevent further withdrawals.
Our investigation is ongoing and we will release further information as soon as possible.
— ₿adgerDAO 🦡 (@BadgerDAO) December 2, 2021
由於官方目前已暫停所有合約互動。就有一名用戶生氣的留言表示:他將超過 220 萬美元的全部身家放在了 Badger DAO 協議中,現在不能夠轉移?WTF?
最大苦主損失超五千萬鎂
根據區塊鏈安全公司 PeckShield 提供的數據,駭客從受影響的錢包中竊取了 156,488 個 bcvxCRV、76,199 個 bveCVX…. 以及各種形式的合成比特幣,總價值已超過 1 億美元;其中最大的苦主損失了 926 枚 BTC( 現價約 5,270 萬美元)。
One most affected user (w/ the loss of ~900 BTC): 0x53461e4fddcc1385f1256ae24ce3505be664f249. And here is the transfer-out tx: 😭https://t.co/megVFFy2Z8
— PeckShield Inc. (@peckshield) December 2, 2021
BADGER 代幣一度下挫超 16%
根據 CoinMarketCap 的數據,Badger DAO 項目的原生代幣 BADGER 受此消息影響,一度下跌超過 16%。截稿前暫報22.52 美元。
Badger DAO 允許用戶通過將比特幣轉換為 Wrapped Bitcoin (WBTC) 或 renBTC 並將其存入金庫,通過算法分配並自動複合用戶的收益,從而使用戶通過比特幣賺取被動收入 。
根據 DeFi Pulse 提供的數據,Badger DAO 是以太坊上第 23 大的 DeFi 協議。上個月,它鎖定的總價值一度超過了 10 億美元。
