BadgerDAO revela la causa detrás del exploit, detalla el plan de recuperación
En uno de los atracos más costosos que haya visto la industria de las criptomonedas, un ataque de suplantación de identidad había costado los tokens BadgerDAO por valor de millones de dólares a principios de esta semana. El protocolo ahora ha publicado un análisis detallado de las transacciones no autorizadas que resultaron en esta enorme pérdida de fondos.
En un ‘Post mortem técnico’ publicado por el equipo del protocolo en asociación con la firma de ciberseguridad Mandiant, se destacó que el incidente de phishing que ocurrió el 2 de diciembre fue el resultado de un «fragmento inyectado maliciosamente proporcionado por Cloudflare Workers».
Cloudflare es una interfaz que permite a los usuarios ejecutar scripts que «operan y alteran el tráfico web a medida que fluye a través de los proxies de Cloudflare».
El informe agregó además que el atacante había implementado dicho script a través de una clave API comprometida, que había creado a través de una evasión exitosa de los ingenieros de Badger. Este acceso a la API permitió a los atacantes inyectar posteriormente código malicioso en el protocolo de manera periódica, de modo que solo un subconjunto de la base de usuarios se vea afectado.
Diagnóstico inicial del ataque había explicado que al pedir sigilosamente permisos adicionales a los usuarios que interactuaban con las bóvedas de Badger, los atacantes habían recibido aprobaciones para enviar los tokens de los usuarios a su propia dirección.
El ataque había comenzado en agosto-septiembre, según el análisis de BadgerDAO. Los usuarios de Cloudflare habían notado por primera vez que los usuarios no autorizados podían crear cuentas y también podían crear y ver claves API (globales) sin completar el proceso de verificación del correo electrónico, y señalaron que tras la verificación del correo electrónico, el atacante tendría acceso a la API.
Badger descubrió que se habían creado tres de esas cuentas y se les habían otorgado claves API sin autorización en agosto y septiembre. El atacante utilizó este acceso a la API el 10 de noviembre para inyectar scripts maliciosos a través de Cloudflare Workers en la página web del protocolo. Las mismas transacciones web3 interceptaron y solicitaron a los usuarios que permitieran la aprobación de una dirección extranjera para operar en tokens ERC-20 en su billetera.
El análisis señaló además,
“El atacante utilizó varias técnicas anti-detección en su ataque. Aplicaron y eliminaron el guión periódicamente durante el mes de noviembre, a menudo por períodos de tiempo muy cortos. El atacante también solo apuntó a billeteras por encima de un cierto saldo «.
Una vez que se generaron alertas sobre una transacción sospechosamente grande en Discord, el protocolo pausó la mayor parte de la actividad de la bóveda en 30 minutos, mientras que aquellos con un contrato anterior se detuvieron aproximadamente 15 horas después. La gracia salvadora fue el protocolo BIP-33, lo que le da la capacidad de pausar los contratos aprobados en el contrato del tutor, evitando que se lleven a cabo todo tipo de transacciones.
Sin embargo, el valor total perdido ascendió a más de $ 130 millones, de los cuales solo $ 9 millones son recuperables, según la publicación del blog. El protocolo está trabajando para recuperar algunos fondos que fueron transferidos por el explotador pero que aún no se retiraron de las bóvedas de Badger. También está en contacto con Chainalaysis, Mandiant y los intercambios de cifrado, así como con las autoridades de los EE. UU. Y Canadá para lo mismo.
Además, Badger también completará auditorías de terceros de toda la infraestructura web2 y web3 antes de relanzar el protocolo, con planes de un hack-a-thon y campañas educativas también en proceso.
La fase de recuperación también incluye la BIP-76, que tiene como objetivo actualizar los contratos inteligentes. Esto permitirá el rescate de los fondos de los usuarios, mejorará la funcionalidad de pausa e introducirá salvaguardas adicionales a través de listas negras.
Esta es una traducción automática de nuestra versión en inglés.