Ether-tillgångar och Bitcoin till ett värde av ungefär 120 miljoner dollar stals från en decentraliserad finanswebbplats (DeFi) som gör det möjligt för användare att låna, låna och spekulera i prisfluktuationer i kryptovaluta. Vissa påstådda hackare dränerade pengar från olika kryptovaluta-plånböcker kopplade till BadgerDAO, en decentraliserad finansplattform.
Krediter: BadgerDAO
Även om utredningen fortfarande pågår, informerade Badger-teamet användarna om att de antar att attacken skedde av ett skadligt skript som implanterats i användargränssnittet på deras webbplats av någon. Skriptet skulle sedan fånga upp Web3-transaktioner och skicka en begäran om att överföra alla målets tokens till angriparens adress varje gång en användare interagerade med deras webbplats när skriptet aktiverades.
Eftersom transaktionerna var transparenta kan man se vad som hände när angriparna slog till. PeckShield informerade att en överföring inkluderade 896 Bitcoin-tokens värderade till över $50 miljoner.
Enligt teamet dök det skadliga skriptet först upp den 10 november, och angriparna körde det på slumpmässiga sätt för att kringgå alla möjligheter till exponering.
Så snart Badger blev informerad om alla dessa överföringar, frös den omedelbart sin webbplats, stoppade alla smarta kontrakt och rådde sina användare att avvisa alla transaktioner till angriparens adress.
Företaget förklarade på torsdagskvällen att det har:
"Retained data forensics experts Chainalysis för att undersöka hela omfattningen av incidenten & myndigheter i både USA och Kanada har informerats & Badger samarbetar fullt ut med externa utredningar samt fortsätter med sina egna."
Enligt PeckShield avslöjade ett Blockchain-analysföretag som var först med att lägga märke till rånet att hackarna stal över 151 Ether och 2 100 Bitcoins från Badgers användarkonton innan organisationen stängde av hela sitt system.
Företaget deklarerade på Twitter att priset uppskattades till cirka 120,3 miljoner dollar vid tidpunkten för rånet. De förklarade också att en användare förlorade över 900 Bitcoins, beräknat till cirka 50,5 miljoner dollar.
Plattformar som täcker nyheter om kryptovaluta som CryptoBriefing, CryptoSlate och Coinspeaker citerade olika användare från Badgers discord-kanal som hävdade att brottslingarna använde en sårbarhet i plattformens användargränssnitt för att få tillgång till användarkonton och exfiltrera pengar.
Badger har dock inte skickat tillbaka några kommentarsförfrågningar och har inte bekräftat dessa teorier till någon nyhetsplattform.
Vanligtvis innebär attackerna på kryptoplattformar att få tillgång till en anställds konto eller att utnyttja fel i plattformens handelsprotokoll istället för användargränssnittet.
För närvarande rankas Badger kryptovaluta-incidenten som det tredje största rånet 2021, med PolyNetwork först och Cream Finance tvåa.