时间:2021-12-03 20:26:13编辑:未知
注:原文来自Rekt。 以下是全文编译
道杀,“獾”死了。
1亿2000万美元的资金被各种形式的wBTC和ERC20令牌夺走。
前端攻击加大了Badger DAO的损失,被盗金额排在DeFi攻击的第四位。
rekt.news再次强调:
的承认意味着无限的信任。 我知道DeFi不应该这样做。
但是,如果前端被破坏了,我们是否应该期待普通用户能够通过钱包的批准发现非法合同呢?
由于未知方插入了其他授权,用户将令牌发送到攻击者的地址。 从2021年12月2日00:08:23开始,攻击者使用这些错误的信任承认美美吃饭。
当用户地址被缩小的消息传到Badger时,小组宣布暂停项目智能合约,恶意交易在开始2小时20分左右开始失效。
BadgerDAO的目标是将比特币带入DeFi。 这个项目由各种各样的金库构成,用户可以在以太网上得到wBTC的收益。
据悉,被盗资产大部分是金库的存款令牌,被兑现,下级BTC桥接至比特币网络,ERC20令牌留在以太坊。
这里总结了被盗资金现在的位置,以便可以看到。
另外,该项目的Cloudflare账户流失的传言也一直流传,其他安全漏洞也一样。
当用户进行合法存款并尝试申请激励时,这些虚假授权将被弹出,为攻击者直接从用户地址移动BTC相关令牌奠定了无限钱包授权的基础。
据Peckshield称,黑客地址的首次批准案例是近两周前。 之后,与平台打交道的人可能会无意中批准攻击者窃取资金。
据说有500多个地址批准了黑客的地址
0x1FCD B04 D0 C 5364 FBD 92 c 73 CA8 AF9BAA 72 c 269107
请立即检查您的批准情况,并在此取消:
etherscan.io/tokenapprovalchecker
交易示例:枯竭~900 byvWBTC,价值5000万美元以上。 受害者约6小时前用increaseAllowance ()函数批准了攻击者的地址,允许攻击者不受限制地使用资金。
最终,Badger的传输自()函数的quot; 通过“不寻常”的功能,团队暂停了所有活动,防止了资金进一步流失。
如果像Badger这样声誉卓着的长期项目如此受到打击,而DeFi的一些大佬项目也差点重疾险,DeFi用户就不能对最大bags的安全性过于放心。 多样化是生存的关键。
人们通常会检查URL,强调与适当的渠道进行交流,但在这种情况下对用户没有帮助。
请知道。 前端至少在12天前被操纵了。
那么Badger为什么没有注意到呢?
11月28日,一位用户用Discord标记可疑的increaseAllowance ()批准。
为什么找不到Badger的开发者呢?
对于有经验的用户来说,这种虚假的承认可能很容易发现。 此外,在签署交易之前,通过将地址复制/粘贴到Etherscan上,很容易检查任何合同的有效性。
但是,DeFi要达到“大规模采用”,就必须简化这些额外的预防措施。
在那之前,只能用很多好钱包谨慎行事。
