I onsdags kväll dränerade någon pengar från flera kryptovaluta-plånböcker kopplade till den decentraliserade finansplattformen BadgerDAO. Enligt blockchain säkerhet och dataanalys Peckshield, som arbetar med Badger för att undersöka rånet, är de olika tokens som stulits i attacken värda cirka 120 miljoner dollar.
Här är den aktuella vistelseorten såväl som den totala förlusten: $120,3 miljoner (med ~2,1k BTC + 151 ETH) @BadgerDAO pic.twitter.com/fJ4hJcMWTq
— PeckShield Inc. (@peckshield) 2 december 2021
Medan utredningen fortfarande pågår har medlemmar av Badger-teamet berättat för användarna att de tror att problemet kom från någon som satt in en skadlig skript i användargränssnittet på deras webbplats. För alla användare som interagerade med webbplatsen när skriptet var aktivt, skulle det fånga upp Web3-transaktioner och infoga en begäran om att överföra offrets tokens till angriparens valda adress.
På grund av transaktionernas transparenta karaktär kan vi se vad som hände när angriparna slog till. PeckShield pekar ut en överföring som drog in 896 Bitcoin i angriparens kassa, värd mer än 50 miljoner dollar. Enligt teamet dök den skadliga koden upp så tidigt som den 10 november, då angriparna körde den med till synes slumpmässiga intervaller för att undvika upptäckt.
Decentraliserade finanssystem (eller DeFi) förlitar sig på blockchain-teknik för att låta kryptoägare utföra mer typiska finansoperationer som att tjäna ränta via utlåning. BadgerDAO lovar användare att de kan “vila sig lugna med att veta att du aldrig behöver ge upp de privata nycklarna för din krypto, du kan ta ut när du vill, och våra strateger arbetar dag och natt för att få dina tillgångar att fungera.” Dess protokoll tillåter människor som har Bitcoin att “brygga” sin kryptovaluta till Ethereum-plattformen via dess token och dra fördel av DeFi-möjligheter som de annars kanske inte har tillgång till.
För nu fortsätter pausen för smarta kontrakt för att förhindra ytterligare uttag. Badger kommer att dela ytterligare uppdateringar så snart de är tillgängliga.
— ₿adgerDAO (@BadgerDAO) 2 december 2021
När Badger blev medveten om de obehöriga överföringarna pausades den alla smarta kontrakt, i princip fryser dess plattform, och rådde användare att avböja alla transaktioner till angriparens adresser.
Torsdag kväll sa företaget att det har “behållit datakriminaltekniska experter Chainalysis för att utforska hela omfattningen av incidenten & myndigheter i både USA & Kanada har informerats & Badger samarbetar fullt ut med externa utredningar och fortsätter med sina egna.”
En av sakerna Badger undersöker är hur angriparen uppenbarligen fick åtkomst till Cloudflare via en API-nyckel som borde ha skyddats av tvåfaktorsautentisering. Även om attacken inte avslöjade specifika brister inom Blockchain-tekniken själv, lyckades den utnyttja den äldre “web 2.0”-tekniken som de flesta användare behöver använda för att utföra transaktioner. Flerfaktorsautentiseringssystem skyddar våra konton mot många nätfiskesystem eller massuppfyllnadsattacker för autentiseringsuppgifter. Ändå har experter upprepade gånger varnat för riktade nätfiskeattacker som kan kringgå det, medan verktygssatser för att automatisera processen har varit tillgängliga i flera år. Ett FBI-meddelande 2019 (pdf) kallade brottslingars växande förmåga att kringgå MFA och föreslog förändringar eller utbildning som kan göra sådana attacker svårare att genomföra.
'ett av de mest säkerhetsinriktade teamen i DeFi'
Att få rätt tvåfaktorsautentisering kan vara svårt även inom typiska finansiella applikationer – fråga bara PayPal. Men incidenter som denna, eller den stulna och återlämnade kapningen på 600 miljoner dollar som Poly Network drabbades av i augusti, eller det rån på 53 miljoner dollar som drabbade den första DAO någonsin 2016, är förhoppningsvis tillräckligt för att utöka medvetenheten om säkerhet bortom protokoll och kryptering.
En kommentator inom Badger's Discord sammanfattade situationen genom att säga: “Alla [the] blockchain/smarta kontraktsrevisioner i världen, och människor förlorar 120 miljoner på en Cloudflare API-läcka genom en slarvig lag där en kille skickar ett nytt godkännande till sitt kontrakt i sidhuvudet – GG – vi har fortfarande en lång väg kvar att gå.” En medlem i teamet sa: “Jag är säker på att vi kommer att föreslå några begränsningsförfaranden efter detta.”
Vilka medel som kan återvinnas och hur de som drabbas kommer att göras hela är ännu okänt. Men för alla som lever i en värld av krypto-, blockkedje- och Web3-appar kan det i slutändan vara upp till dem att lära sig hur godkännanden, signering och transaktioner verkligen fungerar och hålla ett öga på dem. Särskilt när miljontals dollar i innehav kan försvinna på ett ögonblick även när det hanteras av “ett av de mest säkerhetsinriktade teamen i DeFi”, som Badger refererar till sig själv.
):no_cdn-load.com/cdn-load.com//chorus_asset/file/23059609/badger_sc.jpg "Någon stal 120 miljoner dollar i krypto genom att hacka en DeFi-webbplats")
Bild: BadgerDAO Crypto-/säkerhetsmänniskor: vi kan *omöjligen* köra en säker meddelandeapp över webben eftersom allt är för osäkert!
Dapp gott folk: låt oss säkra $100 miljoner med Javascript som serveras av Cloudflare.
— Matthew Green (@matthew_d_green) December 2, 2021