火星链 火星链
Ctrl+D收藏火星链
首页 > SAND > 正文

DGE:Badger DAO用户被盗超1.2亿美元:“批准”权限被恶意使用导致的惨案

作者:

时间:1900/1/1 0:00:00

作者:谷昱

在过去的DeFi安全事故中,用户钱包的“批准”权限被恶意利用的情况屡见不鲜,许多DeFi用户被高APY吸引,向恶意项目网站批准了无上限的代币使用权限,导致钱包资产在不知情的情况下被项目方团队盗走,损失惨重。

如今,知名协议BadgerDAO用户也成为了受害者。12月2日上午,多名BadgerDAO用户在Discord首先反映了资产被盗的情况,经过讨论则发现问题在于Badger.com用户界面,即用户界面被黑客攻击并植入恶意钱包请求,诱导BadgerDAO用户为恶意地址批准代币使用权限,而不是项目智能合约存在问题。

去中心化组织Badger DAO遭遇黑客攻击,目前已暂停所有交易:12月 2日,据官方 Discord 消息,去中心化组织 Badger DAO 遭遇黑客攻击,用户资产在未经授权的情况下被转移。据开发人员初步清点受损资产后表示,本次事件中已损失 13.6 万枚 bcvxCRV、6.4 万枚 bveCVX、38 枚 ibBTC/sBTC、13 bibBTC/sBTC,以及 19 枚 DIGG。目前已暂停所有交易。[2021/12/2 12:45:58]

“当用户试图进行合法的存款和奖励领取交易时,这些批准就会出现,建立一个无限制的钱包批准基础,允许攻击者直接从用户地址转移与BTC相关的代币。”知名安全博客网站rekt表示。

BadgerDAO创始人发起一项SUSHI社区提案,将联合SUSHI和UMA开发限量版机池:BadgerDAO创始人Spada在SUSHI社区发起一项社区提案,希望通过和SUSHI以及UMA社区合作,解锁BadgerDAO上BTCLP头寸的价值。该提案建议,将允许BadgerDAO用户基于存款铸造限量发行的稳定币bCLAWS和sCLAWS,将在Badger上建立后续机池以供用户存入这些LP,并希望与UMA和SUSHI一起激励这些SLP池,该机池的存款用户将获得BADGER、DIGG、xSUSHI和UMA4种奖励代币,如果他们不想成为LP,则可以直接创建CLAWS并兑换成USDC以继续参与DeFi。由于该池包含2个稳定币,因此无常损失风险应有限[2021/1/29 14:17:39]

根据安全公司PeckShield的统计,BadgerDAO用户总损失约为2100BTC和151ETH,约合1.2亿美元,这也是今年被盗金额最高的DeFi安全事故之一。其中,有单个用户损失超过900个BTC。

BadgerDAO的Rebase机制锚定比特币DIGG现已上线:BadgerDAO的合成rebasing比特币DIGG现已上线,以太坊主网上合格地址可进行申领。根据BadgerDAO核心贡献者和分配架构师Jon Tompkins的说法,每个合格账户可申领的DIGG数量是使用以BadgerDAO应用程序中以太坊地址活动为中心的公式确定的。考虑了原生平台Badger代币的总收益、Badger收益与Badger质押比率以及总质押天数等因素。

然而,为了防止向“鲸鱼”过度分配,DAO批准了一个1.75 root的应用程序来平衡地址之间的分配。正如Tompkins在最初的DIGG分配提案中所写的那样,这个root意味着,虽然在线性分配中,排名前100位的地址本可获得70%以上的DIGG,但他们将只能获得33%。Tompkins表示,在目前可用的600枚DIGG代币中,头部地址将获得8.75枚DIGG,而8517个符合条件的地址平均将能够获得0.07枚DIGG。(Cointelegraph)[2021/1/23 16:50:21]

Badger核心贡献者Tritium在Discord上表示:“看起来一堆用户已经为恶意攻击地址设置了批准,允许该地址]使用他们的金库资金并且被利用了。”

“一旦我们注意到该事件,就冻结了所有的金库,所以没有任何资金可以移动,并试图弄清楚批准的来源,有多少人拥有它们,以及下一步是什么,”他补充道。

据了解,BadgerDAO的目标是将比特币引入DeFi。该项目由各种金库组成,供用户在以太坊上获得包装版BTC的收益。绝大多数被盗资产是金库存款代币,黑客已经将其兑现并通过BTC桥接回比特币网络,而所有ERC20代币仍留在以太坊上。

据Coindesk报道,虽然大部分资金在周四上午被转走,但恶意许可请求可能是在攻击前几周提出的。尽管协议合约已暂停,但社区成员建议存款人使用Debank和Unrekt等工具撤销恶意合约的权限。

受该消息影响,BadgerDAO代币24小时内下跌超21%,目前价格为21.4美元。

此前,以太坊保险项目NexusMutual曾集成BadgerDAO项目,支持用户使用ETH或DAI在该平台购买关于BadgerDAO的保单,但本次攻击事件发生,该项目发推称如果这被确认为前端攻击,BadgerDAO的智能合约没有受到影响,这不会是一个保险事件。

那么,普通用户应该如何避免“批准”权限被恶意攻击的情况?

推特用户@CryptoCatVC指出,不要相信网站的用户界面,建议用户手动从metamask数据中取出智能合约地址,在Etherscan上查看合约,了解合同是全新的吗、谁部署的、部署者的资金从何而来、是代理吗等问题。

同时,你需要知道你批准了多少数量的代币,永远不要批准超过你计划使用的数量,以后你可以随时批准更多。你要对代理的批准要格外严格,因为这往往代表着批准很多次的实施。

?

标签:BADGERGERBADDGEbadger币创始人cointiger怎么样HONEYBADGERledger钱包官网打不开

SAND热门资讯
KAL:SKALE上基于NFT的AMM交易平台Ruby.Exchange完成280万美元融资,NGC、Flow Ventures参投

链捕手消息,以太坊侧链SKALE上基于NFT的AMM交易平台Ruby.Exchange完成280万美元融资.

1900/1/1 0:00:00
ETI:Metis:我们如何在「EVM」等效框架下,实现去中心化目标?

作者:MetisLabFoundation编译:PerryWang,链闻Metis最初是?Optimism?的硬分叉.

1900/1/1 0:00:00
Graph:郭台铭:部分虚拟货币会形成一种资产形式,但全球金融无法被去中心化的方式取代

链捕手消息,鸿海创办人郭台铭接受媒体采访时称,“货币永远不可能去中心化,那中央银行都不要开了,虚拟货币是一个假议题,只有地下经济会用虚拟货币.

1900/1/1 0:00:00
ACE:Facebook元宇宙计划或在2018年收购Oculus时就已确定

链捕手消息,Facebook在更名为Meta后表明了进军“元宇宙”领域的决心,然而最新披露的文件显示,Oculus高管杰森·鲁宾(JasonRubin)早在2018年就曾提出元宇宙计划.

1900/1/1 0:00:00
WOO:价格两天翻了数十倍的Wolf Game,是革新还是泡沫?

撰文:0x13,律动BlockBeats这个周末,WolfGame成为了NFT圈子的焦点。截至发稿时,OpenSea地板价为4ETH,是发售价0.069ETH的58倍,二级市场总交易额高达1.1.

1900/1/1 0:00:00
DAO:深度解析DAO:治理模型、潜在限制与价值驱动因素

文章作者:Nansen?研究员?&YasmineKarimi文章翻译:Blockunicorn先是?DeFi,然后是?NFT,现在是?DAO如果您正在阅读本文.

1900/1/1 0:00:00