Хакери вкрали 120 мільйонів доларів у криптовалютах, зламавши веб-сайт Badger DeFi
Активи Ether і біткойни на суму приблизно 120 мільйонів доларів були вкрадені з веб-сайту децентралізованих фінансів (DeFi), який дає змогу користувачам позичати, брати в борг і спекулювати на коливаннях вартості криптовалюти. Деякі ймовірні хакери вивели кошти з різних криптовалютних гаманців, приєднаних до BadgerDAO, децентралізованої фінансової платформи.
Автори: BadgerDAO
Незважаючи на те, що розслідування все ще триває, команда Badger повідомила користувачів, що вони припускають, що атака відбулася за допомогою шкідливого сценарію, імплантованого в інтерфейс користувача їхнього сайту. Потім сценарій перехоплюватиме транзакції Web3 і надсилатиме запит на передачу всіх маркерів цілі на адресу зловмисника щоразу, коли користувач взаємодіє з їхнім веб-сайтом під час активації сценарію.
Оскільки трансакції були прозорими, видно, що сталося, коли зловмисники накинулися. PeckShield повідомив, що одна передача включала 896 токенів біткойн на суму понад 50 мільйонів доларів.
За словами команди, шкідливий сценарій вперше з'явився 10 листопада, і зловмисники запустили його випадковим чином, щоб обійти всі можливості розкриття.
Як тільки Badger дізнався про всі ці перекази, він миттєво заморозив свій веб-сайт, зупинив усі смарт-контракти та порадив своїм користувачам відхилити всі транзакції на адресу зловмисника.
У четвер ввечері компанія заявила, що має:
«Збережені дані експертів-криміналістів Chainalysis для вивчення повного масштабу інциденту; органи влади США та Канади були поінформовані, а Badger повністю співпрацює із зовнішніми розслідуваннями, а також продовжує власне».
За словами PeckShield, аналітична фірма Blockchain, яка першою помітила пограбування, виявила, що хакери вкрали понад 151 ефір і 2100 біткойнів з облікових записів користувачів Badger, перш ніж організація закрила всю свою систему.
Фірма оголосила у Twitter, що ціна на момент пограбування становила близько 120,3 мільйона доларів . Вони також заявили, що один користувач втратив понад 900 біткойнів, що оцінюється приблизно в 50,5 мільйонів доларів.
Платформи, що висвітлюють новини про криптовалюту, такі як CryptoBriefing, CryptoSlate та Coinspeaker, цитували різних користувачів із каналу Discord Badger, які стверджували, що злочинці використовували вразливість в інтерфейсі користувача платформи для отримання доступу до облікових записів користувачів і вилучення коштів.
Однак Badger не повернув жодних запитів на коментарі та не підтвердив ці теорії на жодній новинній платформі.
Зазвичай атаки на криптоплатформи передбачають отримання доступу до облікового запису співробітника або використання збоїв у торгових протоколах платформи замість інтерфейсу користувача.
Зараз інцидент з криптовалютою Badger займає третє місце за масштабами крадіжки 2021 року, на першому місці – PolyNetwork, а на другому – Cream Finance.