Протокол децентрализованного финансирования BadgerDAO подвергся атаке хакеров и лишился активов на 10,6 миллионов долларов. Все смарт-контракты приостановлены, а пользователям настоятельно рекомендуется отозвать разрешения для скомпрометированного смарт-контракта, чтобы избежать дальнейших потерь.
Атака была нацелена на протокол в сети Ethereum. Пользователи начали получать от смарт-контрактов необычные запросы на использование их средств. Предполагается, что эти запросы стали результатом атаки на интерфейсную часть протокола, а не на сами смарт-контракты. Один администратор анонимно сказал, что похоже, был скомпрометирован ключ API сервиса Cloudflare.
https://t.co/lZwmUpbgg0 front end/dns was hacked.
User is sneaking in approvals in between legit deposit and reward transactions. He has been stealing funds for approx 12 days so far. Exploit is still live.
short $BADGER to namek
🚨 insider rug alert 🚨 🧸🎯
— napgener CASCADOOOOOR (@napgener) December 2, 2021
Хотя такие протоколы, как BadgerDAO, децентрализованы и с ними можно взаимодействовать напрямую, для этого требуются специальные знания. Большинство пользователей предпочитают использовать промежуточный интерфейс, такой как сайт BadgerDAO (хотя можно использовать альтернативные интерфейсы). Но в этом есть элемент риска: если внешний интерфейс взломан, как в данном случае, то это приводит к потере средств.
Пока нет полного технического исследования проблемы и точного подсчета убытков, но есть сообщения, что хакеры украли гораздо больше средств. По данным исследователей безопасности PeckShield, украдено 120,3 миллиона долларов. При этом один пользователь за одну транзакцию лишился 896 биткоинов. Другой потерял токены на 5 миллионов долларов за раз.
Команда BadgerDAO не подтвердила факт атаки, но опубликовала твит, подтверждающий наличие сообщений о проблемах и остановила смарт-контракты.
Badger has received reports of unauthorized withdrawals of user funds.
As Badger engineers investigate this, all smart contracts have been paused to prevent further withdrawals.
Our investigation is ongoing and we will release further information as soon as possible.
— ₿adgerDAO 🦡 (@BadgerDAO) December 2, 2021