比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

Badger DAO用戶被盜超1.2億美元:“批準”權限被惡意使用導致的慘案_GER

Author:

Time:1900/1/1 0:00:00

作者:谷昱

在過去的DeFi安全事故中,用戶錢包的“批準”權限被惡意利用的情況屢見不鮮,許多DeFi用戶被高APY吸引,向惡意項目網站批準了無上限的代幣使用權限,導致錢包資產在不知情的情況下被項目方團隊盜走,損失慘重。

如今,知名協議BadgerDAO用戶也成為了受害者。12月2日上午,多名BadgerDAO用戶在Discord首先反映了資產被盜的情況,經過討論則發現問題在于Badger.com用戶界面,即用戶界面被黑客攻擊并植入惡意錢包請求,誘導BadgerDAO用戶為惡意地址批準代幣使用權限,而不是項目智能合約存在問題。

Badger DAO提案建議創建BTC支持的穩定幣BAI:據官方消息,去中心化組織Badger DAO社區發起提案,創建BTC支持的穩定幣BAI,包括wBTC、renBTC以及未來其它BTC衍生品。[2021/4/20 20:38:58]

“當用戶試圖進行合法的存款和獎勵領取交易時,這些批準就會出現,建立一個無限制的錢包批準基礎,允許攻擊者直接從用戶地址轉移與BTC相關的代幣。”知名安全博客網站rekt表示。

根據安全公司PeckShield的統計,BadgerDAO用戶總損失約為2100BTC和151ETH,約合1.2億美元,這也是今年被盜金額最高的DeFi安全事故之一。其中,有單個用戶損失超過900個BTC。

BadgerDAO的Rebase機制錨定比特幣DIGG現已上線:BadgerDAO的合成rebasing比特幣DIGG現已上線,以太坊主網上合格地址可進行申領。根據BadgerDAO核心貢獻者和分配架構師Jon Tompkins的說法,每個合格賬戶可申領的DIGG數量是使用以BadgerDAO應用程序中以太坊地址活動為中心的公式確定的。考慮了原生平臺Badger代幣的總收益、Badger收益與Badger質押比率以及總質押天數等因素。

然而,為了防止向“鯨魚”過度分配,DAO批準了一個1.75 root的應用程序來平衡地址之間的分配。正如Tompkins在最初的DIGG分配提案中所寫的那樣,這個root意味著,雖然在線性分配中,排名前100位的地址本可獲得70%以上的DIGG,但他們將只能獲得33%。Tompkins表示,在目前可用的600枚DIGG代幣中,頭部地址將獲得8.75枚DIGG,而8517個符合條件的地址平均將能夠獲得0.07枚DIGG。(Cointelegraph)[2021/1/23 16:50:21]

Badger核心貢獻者Tritium在Discord上表示:“看起來一堆用戶已經為惡意攻擊地址設置了批準,允許該地址]使用他們的金庫資金并且被利用了。”

動態 | BCH開發者推出Chrome擴展Badgerwallet.cash:據News.bitcoin消息,比特幣現金(BCH)開發團隊發布了一款新的BCH桌面錢包,類似于流行的Chrome擴展Metamask。新版Chrome擴展錢包名為Badgerwallet。BCH可以在瀏覽器的開發模式下進行測試,很快就可以持有BCH發行的令牌。[2018/10/6]

“一旦我們注意到該事件,就凍結了所有的金庫,所以沒有任何資金可以移動,并試圖弄清楚批準的來源,有多少人擁有它們,以及下一步是什么,”他補充道。

據了解,BadgerDAO的目標是將比特幣引入DeFi。該項目由各種金庫組成,供用戶在以太坊上獲得包裝版BTC的收益。絕大多數被盜資產是金庫存款代幣,黑客已經將其兌現并通過BTC橋接回比特幣網絡,而所有ERC20代幣仍留在以太坊上。

據Coindesk報道,雖然大部分資金在周四上午被轉走,但惡意許可請求可能是在攻擊前幾周提出的。盡管協議合約已暫停,但社區成員建議存款人使用Debank和Unrekt等工具撤銷惡意合約的權限。

受該消息影響,BadgerDAO代幣24小時內下跌超21%,目前價格為21.4美元。

此前,以太坊保險項目NexusMutual曾集成BadgerDAO項目,支持用戶使用ETH或DAI在該平臺購買關于BadgerDAO的保單,但本次攻擊事件發生,該項目發推稱如果這被確認為前端攻擊,BadgerDAO的智能合約沒有受到影響,這不會是一個保險事件。

那么,普通用戶應該如何避免“批準”權限被惡意攻擊的情況?

推特用戶@CryptoCatVC指出,不要相信網站的用戶界面,建議用戶手動從metamask數據中取出智能合約地址,在Etherscan上查看合約,了解合同是全新的嗎、誰部署的、部署者的資金從何而來、是代理嗎等問題。

同時,你需要知道你批準了多少數量的代幣,永遠不要批準超過你計劃使用的數量,以后你可以隨時批準更多。你要對代理的批準要格外嚴格,因為這往往代表著批準很多次的實施。

?

Tags:GERBADBADGERDGEledger錢包使用教程SHIBADOLLARS幣badger幣最新消息BRIDGE價格

以太坊交易
P2E鏈游vEmpire與Neo達成戰略合作_UID

鏈捕手消息,P2E鏈游vEmpireDDAOLTD宣布與區塊鏈開發平臺Neo達成戰略合作。這一合作將進一步加強Neo在NFT、GameFi和Metaverse等重要領域的布局,助力Neo生態的活.

1900/1/1 0:00:00
去中心化互操作性網絡 Axelar 完成由Crypto.com 領投的戰略融資_LAR

鏈捕手消息,去中心化互操作性網絡Axelar宣布已獲得Crypto.comCapital的戰略投資.

1900/1/1 0:00:00
Sushiswap CTO 回應多名前員工批評:如果沒有運營自主權以及加薪,我就會離開_SHI

鏈捕手消息,針對多名離職人員批評事件,SushiwapCTOJosephDelong發推回應稱,“我不想討論這些話題,因為我認為我們的工作產品不言自明.

1900/1/1 0:00:00
加密破圈運動:通證化重新定義品牌和消費者的關系_KEN

原文標題:《加密破圈運動:Tokenization重新定義品牌和消費者的關系》 作者:GeJin 長期研究游戲和虛擬經濟的學者,國際上第一部游戲打金紀錄片《GoldFarmers》導演.

1900/1/1 0:00:00
a16z合伙人 Chris Dixon:計算運動是正和游戲,運行各種實驗很重要_SOLID

來源:ChrisDixon推特 編譯:谷昱,鏈捕手 對于歷史上每一個重要的計算資源,需求都超過了供應。這包括CPU、GPU、內存、存儲以及有線和無線帶寬.

1900/1/1 0:00:00
資本熱捧鏈游工會:前一天月薪7000,后一秒獲千萬投資_YGG

來源:鏈新原創作者|方沁雨這類游戲公會通過幫助玩家入場,并提供能產生收益的策略組合,在多個經濟虛擬經濟體中推動經濟活動.

1900/1/1 0:00:00
ads