Badger - REKT
Un cadáver en la carretera.
El badger está muerto.
$120 millones robados en varios tipos de wBTC y ERC20.
Un ataque front-end pone a BadgerDAO en el cuarto lugar de nuestro leaderboard.
La aprobación infinita significa confianza ilimitada - algo que sabemos que no debemos de hacer en DeFi.
Pero, ¿cómo puede esperarse que los usuarios comunes identifiquen un contrato ilegítimo a través de la aprobación de su wallet si el front-end ha sido comprometido?
Un actor anónimo insertó aprobaciones adicionales para enviar los tokens de los usuarios a su propia dirección. Empezando a las 00:00:23 UTC el 2.12.2021, el agresor utilizó esta confianza robada para llenar su propia wallet.
Cuando la noticia de que las direcciones de sus usuarios estaban siendo vaciadas llegó a Badger, el equipo anunció que había suspendido los smart contracts del proyecto, y las transacciones maliciosas comenzaron a fallar alrededor de 2 horas y 20 minutos después de haber empezado.
BadgerDAO tiene el objetivo de traer Bitcoin a DeFi. El proyecto está compuesto de bóvedas en las que sus usuarios pueden generar rendimiento sobre una variedad de wrapped BTC en Ethereum.
La gran mayoría de los activos robados fueron tokens de depósito de estas bóvedas, los que luego fueron canjeados por el BTC subyacente. El BTC fue enviado de regreso a la red Bitcoin, y los tokens ERC20 se quedaron en Ethereum.
Las ubicaciones actuales de los fondos robados se pueden ver aquí.
Circularon rumores que la cuenta Cloudflare del proyecto había sido comprometida, junto con otras vulnerabilidades de seguridad.
Las aprobaciones se presentaron cuando los usuarios intentaron hacer transacciones legítimas de depósito y cobros de recompensas. Así el agresor construyó una base de aprobaciones de wallet ilimitadas que le permitió transferir los tokens directamente desde las direcciones de los usuarios.
La primera instancia de aprobación de la dirección del agresor fue hace casi dos semanas, según Peckshield. Cualquier persona que ha interactuado con la plataforma desde entonces puede haber dado aprobación inadvertidamente al hacker para sustraer sus fondos.
Mas de 500 direcciones han aprobado la dirección del hacker: 0x1fcdb04d0c5364fbd92c73ca8af9baa72c269107
Revisa tus aprobaciones y revocalas aquí: etherscan.io/tokenapprovalchecker
Transacción ejemplo: sustrayendo ~900 byvWBTC con valor arriba de $50M. La víctima había aprobado la dirección del agresor para gastar fondos ilimitados vía la función increaseAllowance() unas 6 horas antes.
Eventualmente, gracias a una característica “poco común” dentro la función transferFrom(), el equipo fue capaz de pausar todos los smart contracts, evitando aún más pérdidas.
Si los proyectos bien establecidos y con buena reputación como Badger pueden terminar así de rekt, y algunos de los más grandes de la industria han escapado por poco, los usuarios DeFi no pueden sentirse cómodos con la seguridad de sus posiciones más grandes. La diversificación es la clave para sobrevivir.
A pesar de toda la importancia que normalmente se pone en revisar URLs y asegurar que se está interactuando con los canales oficiales, esto no hubiera sido de ayuda en este caso.
El front-end fue manipulado hace al menos 12 días.
¿Cómo Badger no se dio cuenta?
Un usuario remarcó la aprobación increaseAllowance() sospechosa en Discord.
¿Por qué los devs de Badger no investigaron esto?
Para los usuarios con experiencia, puede que estos tipos de aprobaciones falsas sean fáciles de identificar. Revisar la validez de cualquier contrato es bastante fácil al copiar/pegar la dirección en Etherscan antes de firmar transacciones.
Pero para que DeFi llegue a la “adopción masiva”, estas precauciones extras tienen que ser más sencillas de realizar.
Hasta entonces, solo podemos practicar una buena higiene de wallet.
REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.
dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
aviso legal:
REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.
te podría gustar...
Level Finance - REKT
Level Finance fue rekt. $1.1M en recompensas por referidos fueron robados de la plataforma de perps basada en BSC. El ataque se intentó inicialmente hace más de una semana, pero parece que nadie se dio cuenta. ¿Podría una advertencia haber salvado a Level?
Merlin DEX - REKT
$1,8M desaparecieron en un puff de humo cuando Merlin hizo el clásico truco de magia DeFi. El DEX nativo de zksync habia completado su auditoria por Certik. ¿Cómo es posible que se haya dado luz verde a un protocolo tan fácil de manipular? ¿O la culpa es también de los usuarios?
Hundred Finance - REKT 2
El 15 de Abril, Hundred Finance sufrió un exploit de $7,4M en Optimism. Este el primer artículo del protocolo solo, despues de haber compartido el escenario con Agave DAO y Meter. Con el total de el leaderboard y ahora esto, Hundred ya suma $16,9M... ¿Qué ha sido esta vez?