注:原文來自Rekt,以下為全文編譯
路殺,“獾”已死。
1.2億美元資金以各種形式的wBTC和ERC20代幣被奪走。
前端攻擊使Badger DAO損失慘重,被盜金額排DeFi攻擊第四。
rekt.news再次強調:
無限的批准意味著無限的信任--我們知道在DeFi中我們不應該這樣做。
但是,如果前端被破壞,是否應該期望普通使用者能夠透過錢包的批准來發現非法的合約呢?
一個未知方插入了額外的批准,致使使用者將代幣傳送到了攻擊者的地址。從2021年12月2日00:08:23開始,攻擊者使用這些錯誤的信任批准美美飽餐了一頓。
當使用者的地址被榨乾的訊息傳到Badger時,團隊宣佈暫停專案的智慧合約,惡意交易在開始2小時20分鐘左右開始失效。
BadgerDAO的目標是將比特幣帶到DeFi。該專案由各種金庫組成,供使用者在以太坊上獲得wBTC的收益。
據悉,絕大多數的被盜資產是金庫存款代幣,然後被兌現,底層的BTC則被橋接回比特幣網路,任何ERC20代幣則留在以太坊上。
這裡總結了被盜資金的當前位置,以供檢視。
此外,關於該專案Cloudflare賬戶被洩露的傳言也一直在流傳,其他安全漏洞也是如此。
當使用者試圖進行合法的存款並申請獎勵時,這些虛假的批准會被彈出來,以建立一個無限錢包批准的基礎,允許攻擊者直接從使用者的地址轉移BTC相關代幣。
根據Peckshield的說法,駭客地址的第一個批准例項是近兩週前。此後任何與平臺互動的人,都可能在無意中批准了攻擊者盜取資金。
據悉,共有超過500個地址批准了駭客的地址:
0x1fcdb04d0c5364fbd92c73ca8af9baa72c269107
請立即檢查你的批准情況並在此撤銷:
etherscan.io/tokenapprovalchecker
交易例項:耗盡~900 byvWBTC,價值超過5000萬美元。受害者在大約6小時前透過increaseAllowance()函式批准了攻擊者的地址,致使攻擊者可以無限制地花費資金。
最終,由於Badger的transferFrom()函式的一個"不尋常"的功能,團隊暫停了所有活動,防止了資金的進一步流失。
如果像Badger這樣聲譽卓著的長期專案會被這樣打擊,而且DeFi中的一些大佬專案也險些遭重,那麼DeFi使用者就不能對他們最大bags的安全性過於放心。多樣化是生存的關鍵。
儘管人們通常強調要檢查URL,並確保你與適當的渠道進行互動,但在這種情況下,並不會幫到使用者。
要知道,前端至少在12天前就被操縱了。
那麼Badger怎麼沒有注意到呢?
11月28日,一名使用者在Discord中標記了可疑的 increaseAllowance() 批准。
為什麼Badger的開發人員沒有查到呢?
對於有經驗的使用者來說,這類虛假的批准可能很容易發現,而且在簽署交易之前,透過複製/貼上地址到Etherscan,檢查任何合約的有效性都很容易。
但是,為了讓DeFi達到"大規模採用",這些額外的預防措施必須被簡化。
在那之前,我們只能多用良好的錢包並審慎行事。
