I onsdags aften drænede nogen penge fra flere cryptocurrency-punge forbundet til den decentraliserede finansplatform BadgerDAO. Ifølge blockchain-sikkerheds- og dataanalysen Peckshield, som samarbejder med Badger om at efterforske røveriet, er de forskellige tokens, der blev stjålet i angrebet, værd omkring $120 millioner.
Her er det aktuelle opholdssted såvel som det samlede tab: $120,3 mio. (med ~2,1k BTC + 151 ETH) @BadgerDAO pic.twitter.com/fJ4hJcMWTq
— PeckShield Inc. (@peckshield) 2. december 2021
Mens efterforskningen stadig er i gang, har medlemmer af Badger-teamet fortalt brugerne, at de mener, at problemet kom fra nogen, der indsatte en ondsindet script i brugergrænsefladen på deres hjemmeside. For alle brugere, der interagerede med webstedet, da scriptet var aktivt, ville det opsnappe Web3-transaktioner og indsætte en anmodning om at overføre offerets tokens til angriberens valgte adresse.
På grund af transaktionernes gennemsigtige karakter kan vi se, hvad der skete, da angriberne slog til. PeckShield påpeger en overførsel, der trak 896 Bitcoin ind i angriberens pengekasse, til en værdi af mere end $50 millioner. Ifølge teamet dukkede den ondsindede kode op allerede den 10. november, da angriberne kørte den med tilsyneladende tilfældige intervaller for at undgå opdagelse.
Decentraliserede finansieringssystemer (eller DeFi) er afhængige af blockchain-teknologi for at lade kryptoejere udføre mere typiske finansoperationer som at tjene renter via udlån. BadgerDAO lover brugerne, at de kan “hvile roligt ved at vide, at du aldrig behøver at opgive de private nøgler til din krypto, du kan hæve når som helst, du vil, og vores strateger arbejder dag og nat for at få dine aktiver til at fungere.” Dens protokol giver folk, der har Bitcoin, mulighed for at “bro” deres kryptovaluta over til Ethereum-platformen via dens token og drage fordel af DeFi-muligheder, som de ellers ikke ville have adgang til.
Indtil videre fortsætter pausen med smarte kontrakter for at forhindre yderligere tilbagetrækninger. Badger deler yderligere opdateringer, så snart de er tilgængelige.
— ₿adgerDAO (@BadgerDAO) 2. december 2021
Når Badger blev opmærksom på de uautoriserede overførsler, blev den sat på pause alle smarte kontrakter, i det væsentlige fastfryser dens platform, og rådede brugere til at afvise alle transaktioner til angriberens adresser.
Torsdag aften sagde selskabet, at det har “beholdt datakriminaltekniske eksperter Chainalysis for at udforske den fulde skala af hændelsen & myndigheder i både USA & Canada er blevet informeret & Badger samarbejder fuldt ud med eksterne undersøgelser og fortsætter med sine egne.”
En af de ting, Badger efterforsker, er, hvordan angriberen tilsyneladende fik adgang til Cloudflare via en API-nøgle, der skulle have været beskyttet af to-faktor-godkendelse. Selvom angrebet ikke afslørede specifikke fejl i selve Blockchain-teknologien, lykkedes det at udnytte den ældre “web 2.0”-teknologi, som de fleste brugere skal bruge til at udføre transaktioner. Multi-faktor autentificeringssystemer beskytter vores konti mod mange phishing-skemaer eller masseangreb med legitimationsoplysninger. Alligevel har eksperter gentagne gange advaret om målrettede phishing-angreb, der kan omgå det, mens værktøjssæt til at automatisere processen har været tilgængelige i årevis. En FBI-meddelelse i 2019 (pdf) kaldte kriminelles voksende evner til at omgå MFA og foreslog ændringer eller træning, der kunne gøre sådanne angreb sværere at gennemføre.
'et af de mest sikkerhedsorienterede hold i DeFi'
Det kan være vanskeligt at få tofaktorautentificering rigtigt, selv inden for typiske finansielle applikationer – bare spørg PayPal. Men hændelser som denne, eller det stjålne og returnerede kapring på 600 millioner dollars, som Poly Network blev udsat for i august, eller tyveriet på 53 millioner dollars, der ramte den første DAO nogensinde i 2016, er forhåbentlig nok til at udvide bevidstheden om sikkerhed ud over protokoller og kryptering.
En kommentator i Badger's Discord opsummerede situationen ved at sige: “Alle [de] blockchain/smarte kontraktrevisioner i verden, og folk taber 120 mio. til et Cloudflare API-læk på grund af en sjusket hold, hvor en fyr sender en ny godkendelse til sin kontrakt i sidehovedet – GG – vi har stadig lang vej igen.” Et medlem af teamet sagde: “Jeg er sikker på, at vi vil få foreslået nogle afhjælpningsprocedurer efter dette.”
Hvilke midler der kan inddrives, og hvordan de berørte vil blive gjort hele, er stadig ukendt. Men for alle, der lever i en verden af krypto-, blockchain- og Web3-apps, kan det i sidste ende være op til dem at lære, hvordan godkendelser, signering og transaktioner virkelig fungerer og holde øje med dem. Især når millioner af dollars i beholdninger kan forsvinde på et øjeblik, selv mens det styres af “et af de mest sikkerhedsorienterede teams i DeFi”, som Badger omtaler sig selv.
/no_cdnload.com/cdnload.com//chorus_asset/file/23059609/badger_sc.jpg "Nogen stjal $120 millioner i krypto ved at hacke et DeFi-websted")
Billede: BadgerDAO Crypto/sikkerhedsfolk: vi kan *muligvis* ikke køre en sikker beskedapp over nettet, fordi alt er for usikkert!
Dapp folkens: lad os sikre $100 mio. ved hjælp af Javascript tjent med Cloudflare.
— Matthew Green (@matthew_d_green) December 2, 2021