BadgerDAO – một tổ chức tự trị phi tập trung (DAO) đang làm việc để đưa Bitcoin vào tài chính phi tập trung (DeFi), đã được báo cáo là nạn nhân của một cuộc tấn công hack có thể dẫn đến thiệt hại hơn 120 triệu đô la.
Các báo cáo ban đầu cho thấy số tiền người dùng rút ra khỏi giao thức là 10 triệu đô la, tuy nhiên, dữ liệu từ công ty bảo mật PeckShield cho thấy thiệt hại thực tế cao hơn đáng kể, ước tính tổng số thiệt hại lên tới 120,3 triệu đô la.
Here is the current whereabouts as well as the total loss: $120.3M (with ~2.1k BTC + 151 ETH) @BadgerDAO pic.twitter.com/fJ4hJcMWTq
— PeckShield Inc. (@peckshield) December 2, 2021
Sự cố được báo cáo lần đầu vào khoảng 9 giờ tối theo giờ EST thông qua kênh Discord của dự án, vì một hoạt động khai thác trong giao diện người dùng của BadgerDAO được coi là sự cố có khả năng xảy ra nhất.
Tritium – nhà đóng góp chính của Badger viết trên Discord: “Có vẻ như một loạt người dùng đã được thiết lập phê duyệt cho địa chỉ khai thác cho phép [địa chỉ] hoạt động trên quỹ ngân khố của họ và điều đó đã dẫn đến bị khai thác,”
Tritium nói thêm rằng sau khi vấn đề được xác định, nhóm nghiên cứu đã đóng băng tất cả các vaults để ngăn chặn sự di chuyển của số tiền, trong khi “cố gắng tìm hiểu xem các phê duyệt đến từ đâu, có bao nhiêu người có chúng và các bước tiếp theo là gì.”
PeckShield xác nhận rằng giao thức được khai thác thông qua giao diện người dùng, không phải các hợp đồng giao thức cốt lõi.
Mặc dù các yêu cầu cấp phép độc hại có thể đã được thực hiện vài tuần trước cuộc tấn công, hầu hết các khoản tiền dường như đã bị rút hết vào đêm qua. Người dùng đã tương tác với hợp đồng độc hại cũng được yêu cầu thu hồi quyền đối với ví của họ. Giá của BADGER – token của Badger DAO hiện đã giảm mạnh 17% trong ngày qua.
BadgerDAO cũng đã lên Twitter để xác nhận các báo cáo về việc rút tiền trái phép của người dùng.
Badger has received reports of unauthorized withdrawals of user funds.
As Badger engineers investigate this, all smart contracts have been paused to prevent further withdrawals.
Our investigation is ongoing and we will release further information as soon as possible.
— ₿adger 🦡 (@BadgerDAO) December 2, 2021
Đội ngũ cho biết thêm “Khi các kỹ sư Badger điều tra điều này, tất cả các hợp đồng thông minh đã bị tạm dừng để ngăn việc rút tiền thêm”.
Mặc dù có số tiền lớn như vậy, nhưng vụ hack BadgerDAO lại kém hơn so với vụ hack lớn nhất của DeFi. Vào tháng 8, Poly Network đã bị cướp hơn 600 triệu đô la trong một vụ khai thác. Kẻ tấn công cuối cùng đã trả lại tiền sau đó.