El jueves temprano, noticias del Bitcoin El protocolo DeFi BadgerDAO sufrió una $ 120 millones de explotación que conmocionó a la industria de las criptomonedas. Si bien la plataforma había compartido un diagnóstico inicial del ataque a Gorjeo, el blog de Rekt ha creado una autopsia detallada del truco. Decía, «el tejón está muerto».
Según Rekt, el ataque tuvo lugar en la parte frontal de la aplicación. El explotador pudo insertar aprobaciones adicionales para enviar los tokens de los usuarios a su propia dirección. Luego, el atacante utilizó la confianza perdida para llenar su propia billetera.
Rendimiento de DeFi de la plataforma de análisis también pesado en en el mismo, indicando,
«Muchos usuarios afectados alegaron que mientras recibían recompensas de cultivo de rendimiento y se relacionaban con las bóvedas de Badger, sus proveedores de billeteras les solicitaban falsas solicitudes de permisos adicionales».
Rekt explicó además que, si bien el equipo de Badger pausó los contratos inteligentes del proyecto tan pronto como escucharon la noticia del exploit. Ya habían pasado casi 2,5 horas desde que comenzaron las transacciones maliciosas. En cualquier caso, esto se debía a un Característica «inusual» en el código de Badger que permite a su equipo pausar toda la actividad y detener la transferencia de fondos.
La mayoría de los activos digitales perdidos en el ataque fueron tokens de depósito de bóveda, ya que el protocolo ofrecía bóvedas para que los usuarios obtuvieran un rendimiento en variantes de BTC envueltas en Ethereum. Los tokens robados se cobraron utilizando el Bitcoin subyacente que lo respaldaba, mientras que los tokens ERC20 permanecieron activados. Ethereum. El blog explicó además,
«Las aprobaciones se presentaron cuando los usuarios intentaron realizar un depósito legítimo y transacciones de reclamo de recompensa, construyendo una base de aprobaciones ilimitadas de billeteras que permitieron al atacante transferir tokens relacionados con BTC directamente desde la dirección del usuario».
Más de 500 direcciones habían aprobado la dirección del pirata informático, y la primera aprobación maliciosa de este tipo tuvo lugar hace más de dos semanas. según Peckshield. Esto significa que cualquiera que haya interactuado con la plataforma desde entonces podría haber aprobado sin saberlo la solicitud del atacante de drenar fondos.
Además, la primera bandera roja en torno al exploit fue elevado por un usuario en Discord hace 12 días antes de que comenzaran las transferencias, según Rekt, quien agregó que Badger no abordó ni investigó estos problemas. La publicación del blog también indicó que incluso los usuarios experimentados podrían haber detectado fácilmente dicha actividad.
Sin embargo, para que DeFi sea aceptado en la corriente principal, las plataformas deberán optimizar sus precauciones de seguridad. Este exploit ha sido clasificado como el cuarto más grande que haya tenido lugar en el ecosistema DeFi por DeFiYield, justo detrás de Cream Finance, que había perdió $ 130 millones en un exploit de préstamo flash, y el protocolo BXH que tenía claves privadas comprometido resultando en una pérdida de $ 140 millones.
La lista es coronado por Poly Network, que había sufrido una pérdida de $ 603 millones en agosto después de que los explotadores implementaron contratos inteligentes maliciosos en la red. Si bien la mayoría de los fondos de Poly Network fueron regresó por el White Hat Attacker, no todas las redes han tenido la misma suerte.
Datos de DeFiYield sugiere que de los más de $ 2.33 mil millones que se han perdido en general en los hacks de DeFi, solo se han devuelto $ 682 millones.
Esta es una traducción automática de nuestra versión en inglés.
