Çarşamba gecesi, birisi merkezi olmayan finans platformu BadgerDAO’ya bağlı birden fazla kripto para cüzdanından para çekti. Soygunu araştırmak için Badger ile birlikte çalışan blockchain güvenliği ve veri analizi Peckshield’e göre, saldırıda çalınan çeşitli tokenler yaklaşık 120 milyon dolar değerinde.
İşte mevcut yer ve toplam kayıp: 120,3 milyon $ (~2.1k BTC + 151 ETH ile) @BadgerDAO pic.twitter.com/fJ4hJcMWTq
— PeckShield Inc (@peckshield) 2 Aralık 2021
Soruşturma devam ederken, Badger ekibinin üyeleri, kullanıcılara sorunun, web sitelerinin kullanıcı arayüzüne kötü amaçlı bir komut dosyası ekleyen birinden geldiğini düşündüklerini söyledi. Komut dosyası etkinken siteyle etkileşime giren herhangi bir kullanıcı için, Web3 işlemlerini durdurur ve kurbanın belirteçlerini saldırganın seçtiği adrese aktarmak için bir istek ekler.
İşlemlerin şeffaf doğası nedeniyle, Saldırganlar saldırdığında ne olduğunu görebiliriz. PeckShield, 896 Bitcoin’i saldırganın kasasına çeken ve değeri 50 milyon dolardan fazla olan bir transfere dikkat çekiyor.
BadgerDAO, kullanıcılara “kriptolarınız için özel anahtarlardan asla vazgeçmek zorunda olmadığınızı bilerek rahat edebileceklerini, istediğiniz zaman çekebileceğinizi ve strateji uzmanlarımız varlıklarınızı işe koymak için gece gündüz çalışıyor” vaat ediyor. Protokolü, Bitcoin’e sahip kişilerin, kripto para birimini, token aracılığıyla Ethereum platformuna “köprüleştirmesine” ve aksi takdirde erişemeyecekleri DeFi fırsatlarından yararlanmalarına olanak tanır.
Şimdilik, daha fazla para çekmeyi önlemek için akıllı sözleşmelerdeki duraklama devam ediyor. Badger, mevcut olan diğer güncellemeleri en kısa sürede paylaşacak.
— ₿adgerDAO (@BadgerDAO) 2 Aralık 2021
Badger yetkisiz transferlerin farkına vardığında, tüm akıllı sözleşmeleri duraklattı, esasen platformunu dondurdu ve kullanıcılara saldırganın adreslerine yapılan tüm işlemleri reddetmelerini tavsiye etti.
Perşembe gecesi, şirket “olayın tam ölçeğini araştırmak için veri adli tıp uzmanlarını elinde tuttuğunu ve hem ABD hem de Kanada’daki yetkililere bilgi verildiğini ve Badger’ın dış soruşturmalarla da tam olarak işbirliği yaptığını” söyledi. olarak ilerliyor.”
Badger’ın araştırdığı şeylerden biri, saldırganın iki faktörlü kimlik doğrulama ile korunması gereken bir API anahtarı aracılığıyla Cloudflare’a nasıl eriştiğidir.
Çok faktörlü kimlik doğrulama sistemleri, hesaplarımızı birçok kimlik avı planına veya toplu kimlik bilgisi doldurma saldırılarına karşı korur. Yine de uzmanlar, bunu atlayabilecek hedefli kimlik avı saldırıları konusunda defalarca uyarırken, süreci otomatikleştirmek için araç setleri yıllardır mevcuttu. 2019’da bir FBI bildirisi (pdf), suçluların MFA’yı atlama yeteneklerinin arttığını belirtti ve bu tür saldırıların gerçekleştirilmesini zorlaştırabilecek değişiklikler veya eğitimler önerdi. ‘DeFi’deki en güvenlik odaklı ekiplerden biri’
İki faktörlü kimlik doğrulamayı doğru yapmak, tipik finansal uygulamalarda bile zor olabilir – PayPal’a sormanız yeterli. Ancak bunun gibi olaylar veya Poly Network’ün Ağustos ayında uğradığı 600 milyon dolarlık çalıntı ve iade edilen kaçırma veya 2016’da ilk DAO’yu vuran 53 milyon dolarlık soygun, güvenlik bilincini protokollerin ve şifrelemenin ötesine genişletmek için umarım yeterlidir.
Badger’s Discord’daki bir yorumcu durumu şöyle özetledi: “Dünyadaki tüm blok zinciri / akıllı sözleşme denetimleri ve insanlar, bir adamın geçtiği özensiz bir ekip tarafından bir Cloudflare API sızıntısına 120 milyon kaybediyor. site başlığındaki sözleşmesine yeni bir onay – GG – daha gidecek çok yolumuz var.” Ekibin bir üyesi, “Eminim bundan sonra önerilen bazı hafifletme prosedürlerimiz olacaktır” dedi.
Hangi fonların geri alınabileceği ve etkilenenlerin nasıl bütünleştirileceği hala bilinmiyor.
Özellikle, Badger’ın kendisinin ifade ettiği gibi “DeFi’deki en güvenlik odaklı ekiplerden biri” tarafından yönetilirken bile milyonlarca dolarlık holdingler bir anda yok olabiliyorsa. Resim: BadgerDAO
Kripto/güvenlik çalışanları: Web üzerinden *muhtemelen* güvenli bir mesajlaşma uygulaması çalıştıramıyoruz çünkü her şey çok güvensiz!
Dapp millet: hadi 100 milyon doları güvence altına alalım Cloudflare tarafından sunulan Javascript kullanılarak.
— Matthew Green (@matthew_d_green) 2 Aralık 2021
.