Environ 120 millions de dollars d'actifs Ether et Bitcoin ont été volés sur un site Web de finance décentralisée (DeFi) qui permet aux utilisateurs de prêter, d'emprunter et de spéculer sur les fluctuations des coûts de la crypto-monnaie. Certains pirates informatiques présumés ont drainé des fonds de divers portefeuilles de crypto-monnaie attachés à BadgerDAO, une plate-forme financière décentralisée.
Crédits : BadgerDAO
Même si l'enquête est toujours en cours, l'équipe Badger a informé les utilisateurs qu'ils supposent que l'attaque a eu lieu par un script malveillant implanté dans l'interface utilisateur de leur site par quelqu'un. Le script intercepterait alors les transactions Web3 et enverrait une demande de transfert de tous les jetons de la cible à l'adresse de l'attaquant chaque fois qu'un utilisateur interagissait avec son site Web lorsque le script était activé.
Comme les transactions étaient transparentes, on peut voir ce qui s'est passé lorsque les attaquants ont bondi. PeckShield a informé qu'un transfert comprenait 896 jetons Bitcoin d'une valeur de plus de 50 millions de dollars.
Selon l'équipe, le script malveillant est apparu pour la première fois le 10 novembre et les attaquants l'ont exécuté à des intervalles aléatoires pour contourner toutes les possibilités d'exposition.
Dès que Badger a été informé de tous ces transferts, il a instantanément gelé son site Web, arrêté tous les contrats intelligents et conseillé à ses utilisateurs de rejeter toutes les transactions à l'adresse de l'attaquant.
La société a déclaré jeudi soir avoir :
"A retenu les experts en criminalistique des données Chainalysis pour explorer toute l'ampleur de l'incident et les autorités aux États-Unis et au Canada ont été informées et Badger coopère pleinement avec les enquêtes externes et procède aux siennes."
Selon PeckShield, une société d'analyse Blockchain qui a été la première à remarquer le braquage a révélé que les pirates avaient volé plus de 151 Ether et 2 100 Bitcoins des comptes d'utilisateurs de Badger avant que l'organisation ne ferme tout son système.
La firme a déclaré sur Twitter que le prix était évalué à environ 120,3 millions de dollars au moment du braquage. Ils ont également déclaré qu'un utilisateur avait perdu plus de 900 Bitcoins, estimés à environ 50,5 millions de dollars.
Des plates-formes couvrant l'actualité de la crypto-monnaie comme CryptoBriefing, CryptoSlate et Coinspeaker ont cité divers utilisateurs du canal discord de Badger qui ont affirmé que les criminels utilisaient une vulnérabilité dans l'interface utilisateur de la plate-forme pour accéder aux comptes d'utilisateurs et exfiltrer des fonds.
Cependant, Badger n'a renvoyé aucune demande de commentaire et n'a confirmé ces théories à aucune plateforme d'information.
Habituellement, les attaques sur les plates-formes cryptographiques impliquent d'accéder au compte d'un employé ou d'exploiter des failles dans les protocoles de trading de la plate-forme au lieu de l'interface utilisateur.
Actuellement, l'incident de crypto-monnaie Badger se classe comme le troisième plus grand braquage de 2021, avec PolyNetwork en premier et Cream Finance en second.