Mercoledì sera, qualcuno ha drenato fondi da più portafogli di criptovaluta collegati alla piattaforma finanziaria decentralizzata BadgerDAO. Secondo la blockchain di sicurezza e analisi dei dati Peckshield, che sta lavorando con Badger per indagare sulla rapina, i vari token rubati nell'attacco valgono circa 120 milioni di dollari.
Ecco la posizione attuale e la perdita totale: $ 120.3M (con ~2.1k BTC + 151 ETH) @BadgerDAO pic.twitter.com/fJ4hJcMWTq
— PeckShield Inc. (@peckshield) 2 dicembre 2021
Mentre l'indagine è ancora in corso, i membri del team di Badger hanno detto agli utenti che ritengono che il problema provenga da qualcuno che ha inserito un script nell'interfaccia utente del loro sito web. Per tutti gli utenti che hanno interagito con il sito quando lo script era attivo, avrebbe intercettato le transazioni Web3 e inserito una richiesta per trasferire i token della vittima all'indirizzo scelto dall'attaccante.
A causa della natura trasparente delle transazioni, possiamo vedere cosa è successo una volta che gli aggressori si sono lanciati. PeckShield segnala un trasferimento che ha portato 896 Bitcoin nelle casse dell'attaccante, per un valore di oltre 50 milioni di dollari. Secondo il team, il codice dannoso è apparso già il 10 novembre, poiché gli aggressori lo eseguivano a intervalli apparentemente casuali per evitare il rilevamento.
I sistemi di finanza decentralizzata (o DeFi) si basano sulla tecnologia blockchain per consentire ai proprietari di criptovalute di eseguire operazioni finanziarie più tipiche come guadagnare interessi tramite prestiti. BadgerDAO promette agli utenti che “possono stare tranquilli sapendo che non devi mai rinunciare alle chiavi private per la tua criptovaluta, puoi prelevare quando vuoi e i nostri strateghi stanno lavorando giorno e notte per mettere al lavoro le tue risorse”. Il suo protocollo consente alle persone che hanno Bitcoin di “collegare” la loro criptovaluta alla piattaforma Ethereum tramite il suo token e sfruttare le opportunità DeFi a cui altrimenti non avrebbero accesso.
Per ora continua la pausa sugli smart contract per evitare ulteriori prelievi. Badger condividerà ulteriori aggiornamenti non appena saranno disponibili.
— ₿adgerDAO (@BadgerDAO) 2 dicembre 2021
Una volta che Badger è venuto a conoscenza dei trasferimenti non autorizzati, è stato sospeso tutti i contratti intelligenti, sostanzialmente bloccando la sua piattaforma e consigliando agli utenti di rifiutare tutte le transazioni agli indirizzi dell'attaccante.
Giovedì sera, la società ha dichiarato di aver “trattenuto gli esperti di dati forensi Chainalysis per esplorare l'intera scala dell'incidente e autorità sia negli Stati Uniti che in Il Canada è stato informato & Badger sta collaborando pienamente con le indagini esterne e sta procedendo con le proprie.”
Una delle cose su cui Badger sta indagando è come l'attaccante abbia apparentemente avuto accesso a Cloudflare tramite una chiave API che avrebbe dovuto essere protetta dall'autenticazione a due fattori. Sebbene l'attacco non abbia rivelato difetti specifici all'interno della stessa tecnologia Blockchain, è riuscito a sfruttare la vecchia tecnologia “web 2.0” che la maggior parte degli utenti deve utilizzare per eseguire transazioni. I sistemi di autenticazione a più fattori proteggono i nostri account da molti schemi di phishing o attacchi di riempimento delle credenziali in blocco. Tuttavia, gli esperti hanno ripetutamente messo in guardia sugli attacchi di phishing mirati che possono aggirarli, mentre i toolkit per automatizzare il processo sono disponibili da anni. Un avviso dell'FBI nel 2019 (pdf) ha messo in evidenza le crescenti capacità dei criminali di aggirare l'AMF e ha suggerito modifiche o formazione che potrebbero rendere più difficile l'esecuzione di tali attacchi.
“uno dei team più attenti alla sicurezza della DeFi”
Ottenere correttamente l'autenticazione a due fattori può essere complicato anche all'interno di applicazioni finanziarie tipiche: basta chiedere a PayPal. Ma incidenti come questo, o il furto di 600 milioni di dollari rubato e restituito che Poly Network ha subito ad agosto, o il furto di 53 milioni di dollari che ha colpito il primo DAO nel 2016, si spera siano sufficienti per espandere la consapevolezza della sicurezza oltre i protocolli e la crittografia.
Un commentatore di Badger's Discord ha riassunto la situazione dicendo: “Tutti [i] controlli blockchain/contratti intelligenti nel mondo e le persone perdono 120 milioni di dollari a causa di una perdita dell'API Cloudflare da parte di un squadra in cui un tizio passa una nuova approvazione al suo contratto nell'intestazione del sito – GG – abbiamo ancora molta strada da fare. ” Un membro del team ha dichiarato: “Sono sicuro che verranno proposte alcune procedure di mitigazione in seguito”.
Non è ancora noto quali fondi potranno essere recuperati e come le persone colpite verranno recuperate. Ma per chiunque viva nel mondo delle app crittografiche, blockchain e Web3, potrebbe essere compito loro scoprire come funzionano davvero le approvazioni, le firme e le transazioni e tenerle d'occhio. Soprattutto quando milioni di dollari in proprietà possono scomparire in un istante anche se gestiti da “uno dei team più attenti alla sicurezza in DeFi”, come si definisce Badger.
:no_upscale()/cdn.vox-cdn.com/uploads /chorus_asset/file/23059609/badger_sc.jpg "Qualcuno ha rubato 120 milioni di dollari in criptovalute hackerando un sito web DeFi")
Immagine: BadgerDAO Persone della cripto/sicurezza: noi non è possibile *forse* eseguire un'app di messaggistica sicura sul Web perché tutto è troppo insicuro!
Genti di Dapp: proteggiamo $100 milioni utilizzando Javascript servito da Cloudflare.
— Matthew Green (@matthew_d_green) Dicembre 2, 2021