据外媒《U.today》报导,运行在以太坊上的去中心化金融(Defi)协议BadgerDAO(BADGER),今(2)日由于前端的恶意攻击,被骇客转移超越1亿美元的用户资金。
虽然目前官方还未说明详细的攻击细节,但据社群的猜测,骇客是利用了Badger.com前端用户界面的漏洞,而不是协议合约中的漏洞。许多受影响的用户报告说,在声称获得流动性奖励并与Badger协议互动时,他们注意到钱包提示了对额外权限的虚假请求。
Badger核心贡献者Tritium在Discord上写道:看起来一堆用户已经为漏洞地址设置了批准,允许[该地址]使用他们的金库资金进行操作,并且被利用了。
BadgerDAO团队在Twitter上确认了该漏洞并冻结了一切交易,试图弄清楚事情的来龙去脉:Badger已收到有关未经授权提取用户资金的报告。当Badger工程师对此进行调查时,所有智能合约都已暂停,以防止进一步提款。我们的调查正在进行中,我们将尽快发布更多信息。
由于官方目前已暂停所有合约互动。就有一名用户生气留言表示:他将超过220万美元的全部身家放在了BadgerDAO协议中,现在不能够转移?
最大苦主损失超五千万美元
根据区块链安全公司PeckShield提供的数据,骇客从受影响的钱包中窃取了156,488个bcvxCRV、76,199个bveCVX….以及各种形式的合成比特币,总价值已超过1亿美元;其中最大的苦主损失了926枚BTC(现价约5,270万美元)。
尽管合约已暂停,但社群成员建议使用该协议的用户使用Debank或Unrekt等工具撤销恶意合约的权限。
BADGER代币一度下挫超16%
根据CoinMarketCap的数据,BadgerDAO项目的原生代币BADGER受此消息影响,一度下跌超过16%。截稿前暂报22.52美元。
BadgerDAO允许用户通过将比特币转换为Wrapped Bitcoin(WBTC)或renBTC并将其存入金库,通过算法分配并自动复合用户的收益,从而使用户通过比特币赚取被动收入。
根据DeFiPulse提供的数据,BadgerDAO是以太坊上第23大的DeFi协议。上个月,它锁定的总价值一度超过了10亿美元。