- 1 Points clés à retenir
-
2
BadgerDAO subit une attaque frontale
- 2.1 136 millions de dollars perdus alors que Cream Finance subit une autre attaque de prêt éclair
- 2.2 Qu’est-ce que Rarible : un DAO pour les NFT
- 2.3 60 millions de dollars volés à AnubisDAO lors de la dernière attaque DeFi
- 2.4 Popsicle Finance remboursera les victimes d’une attaque de 25 millions de dollars
Points clés à retenir
- BadgerDAO a subi une attaque frontale majeure.
- Le pirate informatique aurait compromis l’interface utilisateur de Badger en insérant un script malveillant incitant les utilisateurs à autoriser le pirate à dépenser leurs fonds.
- La société d’audit de contrats intelligents Peckshield a estimé la valeur des fonds volés à environ 120 millions de dollars.
BadgerDAO, un protocole DeFi pour gagner du rendement avec Bitcoin tokenisé sur Ethereum, a été victime d’une attaque. Le pirate informatique aurait ajouté un script malveillant au site Web frontal du protocole, invitant les utilisateurs à approuver une transaction de contrat intelligent donnant au script l’autorisation illimitée de drainer des fonds de leurs portefeuilles.
BadgerDAO subit une attaque frontale
BadgerDAO, un protocole DeFi avec plus de 30 000 utilisateurs actifs et 1,2 milliard de dollars de valeur totale verrouillée, a été exploité.
L’attaque s’est produite mercredi matin. Peu de temps après, de nombreux utilisateurs concernés ont signalé des transactions sortantes suspectes à partir de leurs portefeuilles.
On soupçonne que l’attaquant a exploité le site Web frontal du protocole plutôt que ses contrats intelligents. Le pirate informatique aurait inséré un script malveillant sur le site Web de Badger qui présentait aux utilisateurs une transaction pour « augmenter l’allocation », ce qui donnait à l’attaquant une autorisation illimitée pour drainer les fonds que les utilisateurs avaient déposés dans les coffres s’ils approuvaient la transaction.
BadgerDAO a reconnu l’exploit plus tôt ce matin. Dans une déclaration sur Twitter, l’équipe a confirmé qu’elle avait « reçu des rapports de retraits non autorisés de fonds d’utilisateurs ». L’équipe a suspendu les contrats intelligents du projet et étudie actuellement le problème.
Badger a reçu des rapports de retraits non autorisés de fonds d’utilisateurs.
Alors que les ingénieurs de Badger enquêtent à ce sujet, tous les contrats intelligents ont été suspendus pour empêcher d’autres retraits.
Notre enquête est en cours et nous publierons de plus amples informations dès que possible.
– ₿adgerDAO 🦡 (@BadgerDAO) 2 décembre 2021
Selon les données de la chaîne, le exploiter contract a été créé le 20 novembre. Il semble que l’attaquant ait attendu que plusieurs utilisateurs aient approuvé le contrat avant de commencer à drainer les fonds en même temps ce matin.
Commentant l’exploit sur le serveur Discord du projet, Tritium, contributeur principal de Badger, a écrit :
« Il semble qu’un groupe d’utilisateurs aient obtenu des approbations pour l’adresse d’exploit permettant [the address] pour opérer sur leurs fonds de coffre-fort et cela a été exploité.
Le cabinet d’audit de contrats intelligents Peckshield a estimé les pertes totales s’élèvent à environ 120 millions de dollars. Un utilisateur aurait perdu près de 900 Bitcoins, d’une valeur actuelle d’environ 50,7 millions de dollars, en une seule transaction.
Certains utilisateurs auraient pris connaissance de l’exploit il y a cinq jours et auraient signalé le problème aux développeurs de BadgerDAO. L’équipe, cependant, semble avoir largement ignoré le problème. Une capture d’écran publié par l’utilisateur de Twitter DeFi Ahab montre qu’un membre de Discord du nom de peuture a alerté l’équipe de l’invite « augmenter l’allocation », avant que le membre de l’équipe Badger blackbear ne rejette ses inquiétudes en disant que c’était très probablement parce que « l’interface utilisateur a été un peu buggée . «
Les utilisateurs concernés ont déjà créé un canal Discord dédié au suivi du pirate informatique. Les informations publiées suggèrent que l’attaquant a effectué plusieurs transactions liées à l’exploit qui pourraient être retracées à des échanges centralisés avec les exigences Know Your Customer (KYC). Cela rendrait théoriquement le pirate informatique plus facile à retracer.
À en juger par les récents commentaires sur la chaîne Discord, les membres de la communauté et les principaux contributeurs de Badger sont convaincus qu’ils ont déjà identifié l’attaquant. Peckshield semble également soutenir cette théorie, tweeter que « des progrès ont été accomplis », à peu près au même moment où des informations liées au pirate présumé ont commencé à apparaître sur la chaîne.
DeFi a été touché par d’autres attaques similaires ces derniers mois, mais ce type spécifique d’exploit, où l’attaquant a compromis l’interface utilisateur d’un projet plutôt que ses contrats intelligents, a rarement été vu de cette ampleur. Avec 120 millions de dollars perdus, c’est l’un des plus gros hacks DeFi à ce jour.
Le jeton natif du projet, BADGER, a été durement touché par l’incident. Il est en baisse de 17,5% aujourd’hui, s’échangeant à 22,05 $ au moment de la publication.