FAN:DeFi第四大惨案:Badger DAO遭前端攻击,损失达1.2亿美元

注:原文来自Rekt,以下为全文编译

路杀,“獾”已死。

1.2亿美元资金以各种形式的wBTC和ERC20代币被夺走。

前端攻击使BadgerDAO损失惨重,被盗金额排DeFi攻击第四?。

rekt.news再次强调:

无限的批准意味着无限的信任--我们知道在DeFi中我们不应该这样做。

但是,如果前端被破坏,是否应该期望普通用户能够通过钱包的批准来发现非法的合约呢?

Fantom基金会选择Axelar和LayerZero作为网络的替代桥解决方案:金色财经报道,在发生一系列涉及跨链桥的安全事件后,Fantom基金会认可Axelar和LayerZero作为网络的替代桥解决方案。Fantom基金会承认,Multichain推动了Fantom网络总锁定价值和交易量的大部分增长,这主要归功于其先发优势。然而,鉴于最近的可疑活动,该基金会正在推动多元化发展其他桥梁解决方案。 基金会将寻求直接通过桥本身为Axelar和LayerZero发行的资产池提供种子,以鼓励协议流动性和信心。[2023/7/12 10:50:58]

一个未知方插入了额外的批准,致使用户将代币发送到了攻击者的地址。从2021年12月2日00:08:23开始,攻击者使用这些错误的信任批准美美饱餐了一顿。

当用户的地址被榨干的消息传到Badger时,团队宣布暂停项目的智能合约,恶意交易在开始2小时20分钟左右开始失效。

Polyhedra建立在LayerZero的zk轻客户端新增支持Fantom:6月1日消息,ZK基础设施初创公司Polyhedra Network发推宣布其建立在LayerZero的zk轻客户端新增支持Fantom,Polyhedra为Fantom上零知识证明的大量采用提供支持。[2023/6/2 11:53:21]

BadgerDAO的目标是将比特币带到DeFi。该项目由各种金库组成,供用户在以太坊上获得wBTC的收益。

据悉,绝大多数的被盗资产是金库存款代币,然后被兑现,底层的BTC则被桥接回比特币网络,任何ERC20代币则留在以太坊上。

这里总结了被盗资金的当前位置?,以供查看。

此外,关于该项目Cloudflare账户被泄露的传言也一直在流传,其他安全漏洞?也是如此。

彭博社发布专注金融界的大型语言模型 BloombergGPT 论文:3月31日消息,彭博社发布为金融界构建的大型语言模型(LLM)BloombergGPT 论文,该模型依托彭博社的大量金融数据源,构建了一个 3630 亿个标签的数据集,支持金融行业内的各类任务。

在BloombergGPT相关论文中显示,BloombergGPT 的优势包括特定领域模型仍有其不可替代性且彭博数据来源可靠,金融相关任务上的性能明显优于现有模型等。[2023/3/31 13:37:08]

QCP Capital:比特币在创下新熊市低点之前可能会超过3万美元:1月19日消息,加密交易公司QCP Capital在常规市场报告中称,比特币在看到大规模抛售以完成其熊市之前,可能会再上涨50%。我们坚持我们的观点,即自2022年11月低点以来的反弹只是第四浪的修正,我们还有最后的第五浪抛售。报告称,Elliott Wave理论指出,20%、38.2%和50%的斐波那契回溯水平在第4浪中尤为重要。由于比特币已经从最近的宏观低点纠正了近20%,剩下的两个价格目标现在正在发挥作用:27,100美元和31,850美元。[2023/1/19 11:21:12]

当用户试图进行合法的存款并申请奖励时,这些虚假的批准会被弹出来,以建立一个无限钱包批准的基础,允许攻击者直接从用户的地址转移BTC相关代币。

根据Peckshield的说法,黑客地址的第一个批准实例是近两周前。此后任何与平台互动的人,都可能在无意中批准了攻击者盗取资金。

加密货币交易所Bitvavo增加对SOFORT的支持:金色财经报道,总部位于欧洲的加密货币交易所Bitvavo现已宣布将SOFORT添加到其支持的欧洲支付方式列表中。SOFORT是一种被超过8500万人使用的便捷可靠的支付方式,允许在欧洲13个国家(包括荷兰、德国、法国、西班牙和意大利)使用个人网上银行凭证进行直接和安全的支付。(cryptoninjas)[2022/7/21 2:28:40]

据悉,共有超过500个地址批准了黑客的地址:

0x1fcdb04d0c5364fbd92c73ca8af9baa72c269107

请立即检查你的批准情况并在此撤销:?

etherscan.io/tokenapprovalchecker

交易实例:耗尽~900byvWBTC,价值超过5000万美元。受害者在大约6小时前通过increaseAllowance()函数批准了攻击者的地址,致使攻击者可以无限制地花费资金。

最终,由于Badger的transferFrom()函数的一个?"不寻常?"的功能,团队暂停了所有活动,防止了资金的进一步流失。

如果像Badger这样声誉卓著的长期项目会被这样打击,而且DeFi中的一些大佬项目也险些遭重?,那么DeFi用户就不能对他们最大bags的安全性过于放心。多样化是生存的关键。

尽管人们通常强调要检查URL,并确保你与适当的渠道进行互动,但在这种情况下,并不会帮到用户。

要知道,前端至少在12天前就被操纵了。

那么Badger怎么没有注意到呢?

11月28日,一名用户在Discord中标记了可疑的increaseAllowance()批准。

为什么Badger的开发人员没有查到呢?

对于有经验的用户来说,这类虚假的批准可能很容易发现,而且在签署交易之前,通过复制/粘贴地址到Etherscan,检查任何合约的有效性都很容易。

但是,为了让DeFi达到"大规模采用",这些额外的预防措施必须被简化。

在那之前,我们只能多用良好的钱包并审慎行事。

---

想要成为科学家嘛?

想要用技术玩转GameFi嘛?

来学习中级四期课程呀,带你理解智能合约语言开发和应用,独立上手开发产品。

开课倒计时3天!有兴趣和需求的抓紧扫码来领取优惠券报名加入,错过这期要等半年啦~

课程详情:https://wnv.h5.xeknow.com/s/3EDAk8

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:15ms0-0:892ms