Неизвестные злоумышленники похитили около 120 млн долларов у DeFi-проекта BadgerDAO (в Bitcoin и Ether). При этом атака была связана не со смарт-контрактами и сложными уязвимостями, но с инфраструктурой BadgerDAO, учетной записью Cloudflare и CDN BadgerDAO.
Разработчики BadgerDAO официально подтвердили взлом у себя в Twitter, сообщив о «несанкционированном выводе средств пользователей». В настоящее время системы BadgerDAO отключены, а проведение операций приостановлено.
Badger has received reports of unauthorized withdrawals of user funds.
— ₿adgerDAO ? (@BadgerDAO) December 2, 2021
As Badger engineers investigate this, all smart contracts have been paused to prevent further withdrawals.
Our investigation is ongoing and we will release further information as soon as possible.
Поданным блокчейн-аналитиков PeckShield, хакеры похитили криптовалюту на сумму около 2100 BTC (118 500 000 долларов США) и 151 ETH (679 000 долларов США). Исследователи говорят, что только один пользователь потерял более 900 биткоинов, то есть примерно 50,5 млн долларов.
Here is the current whereabouts as well as the total loss: $120.3M (with ~2.1k BTC + 151 ETH) @BadgerDAO pic.twitter.com/fJ4hJcMWTq
— PeckShield Inc. (@peckshield) December 2, 2021
Новостные сайты, включая Coinspeaker, CryptoBriefing и CryptoSlate, цитируют пользователей канала Discord Badger, которые уверяют, что злоумышленники использовали уязвимость в пользовательском интерфейсе платформы, чтобы получить доступ к чужим учетным записям и вывести средства. Представители BadgerDAO никак не комментируют эти теории в частности и происходящее в целом.
Издание Vice Motherboard и вовсе сообщает, что при взаимодействии с BadgerDAO с помощью кошелька Metamask пользователи сталкивались с подозрительными запросами на получение прав. Пользователи обратили на это внимание лишь тогда, когда средства с их кошельков начали исчезать, а BadgerDAO «приостановили» все смарт-контракты.
Эксперты, с которыми говорили журналисты, предполагают, что кто-то внедрил вредоносный скрипт в интерфейс BadgerDAO после компрометации ключа API для учетной записи BadgerDAO в Cloudflare.
Стоит ожидать, что подробности этой атаки вскоре будут опубликованы, так как взлом BadgerDAO уже привлек внимание профессионалов в области безопасности. Например, Мэтью Грин, известный исследователь, а также профессор криптографии и информатики в университете Джона Хопкинса, пишет в Twitter:
«Забавно, как мало люди, занимающиеся компьютерной безопасностью, знают об экосистеме [децентрализованных приложений]. Как будто они живут в отеле из “Сияния” и понятия не имеют, что происходит в номере 237».
