BadgerDAO, как сообщается, пострадал от нарушения безопасности и потерял $10M
Децентрализованный финансовый протокол BadgerDAO, похоже, пострадал от кибер-атаки, в результате которой, по имеющимся на данный момент данным, было потеряно 10 миллионов долларов.
Атака, о которой стало известно около 2 часов ночи по UTC 2 декабря, была направлена на протокол в сети Ethereum по адресу контракта 0x1fcdb04d0c5364fbd92c73ca8af9baa72c269107.
К вашему сведению, отвратительная фронтенд-атака на Badger, похоже, что ~10 млн. было выведено из кошельков людей с помощью одобрения ковра. Если вы взаимодействовали с чем-либо связанным с барсуком в последние несколько недель, проверьте и отзовите как можно скорее.
— Spreek (@spreekaway) 2 декабря 2021 г.
Пользователям, которые взаимодействовали с этим контрактом, настоятельно рекомендуется отозвать разрешение со своего кошелька.
Чтобы отозвать разрешения контракта, посетите сайт etherscan.com и войдите в систему с кошельком, который, по вашему мнению, может быть подвержен воздействию. Хотя атака произошла совсем недавно, разрешение на контракт могло быть установлено несколько недель назад.
Общая сумма неподтвержденных убытков составляет около 10,6 миллиона долларов.
Команда BadgerDAO не подтвердила наличие эксплойта, но в 4:30 утра по Гринвичу опубликовала твит, в котором признала, что были сообщения о проблемах. Все смарт-контракты на BadgerDAO были приостановлены, чтобы предотвратить потенциально вредоносное снятие средств.
Badger получил сообщения о несанкционированном выводе средств пользователей.
Пока инженеры Badger расследуют это, все смарт-контракты были приостановлены, чтобы предотвратить дальнейшее снятие средств.
Наше расследование продолжается, и мы опубликуем дополнительную информацию как можно скорее.
— ₿adgerDAO (@BadgerDAO) 2 декабря 2021 г.
В ранних отчетах утверждается, что некоторые пользователи получали необычные запросы на расходование средств от смарт-контрактов протокола. Есть подозрение, что эти запросы были атакой в действии через front-end протокола.
Некоторые пересмотрели стоимость предполагаемых потерь до 100 миллионов долларов, а один пользователь, по сообщениям, потерял 90 миллионов долларов.
Хакеры могут использовать взломанные учетные записи Google Cloud для установки программного обеспечения для майнинга менее чем за 30 секунд: Отчет
На официальном Discord-сервере Badger основной участник Tritium написал: «Похоже, что у многих пользователей были установлены разрешения для адреса эксплойта, позволяющие ему работать с их средствами в хранилище, и это было использовано».
На момент написания статьи на Coingecko акции BADGER упали на 15% до $22,71.