GER:DeFi第四大惨案:Badger DAO遭前端攻击,损失达1.2亿美元

注:原文来自Rekt,以下为全文编译

路杀,“獾”已死。

1.2亿美元资金以各种形式的wBTC和ERC20代币被夺走。

前端攻击使BadgerDAO损失惨重,被盗金额排DeFi攻击第四?。

rekt.news再次强调:

无限的批准意味着无限的信任--我们知道在DeFi中我们不应该这样做。

但是,如果前端被破坏,是否应该期望普通用户能够通过钱包的批准来发现非法的合约呢?

微软将解散实时混合现实体验平台AltSpaceVR团队和工具包MRTK团队:金色财经报道,微软在最近宣布的万人大裁员中,实时混合现实体验平台 AltSpaceVR 和 HoloLens 头显团队也遭到了重创,其中,AltSpaceVR 将在 3 月 10 日永久关闭,结束微软在元宇宙方面的努力。此外,微软裁撤了混合现实工具包 MRTK 框架背后的整个团队,MRTK 本来计划在下个月发布新版本。此外,自从首席架构师 Alex Kipman 离职后, HoloLens 也开始缩减规模。[2023/1/23 11:27:07]

一个未知方插入了额外的批准,致使用户将代币发送到了攻击者的地址。从2021年12月2日00:08:23开始,攻击者使用这些错误的信任批准美美饱餐了一顿。

当用户的地址被榨干的消息传到Badger时,团队宣布暂停项目的智能合约,恶意交易在开始2小时20分钟左右开始失效。

欧盟官员:数字欧元将专注于个人使用而不是Web3:金色财经报道,欧盟(EU)官员周三表示,在第一阶段,零售数字欧元将仅支持由人发起的支付,而不是允许企业结算发票、发放薪水或用于去中心化金融。欧盟尚未决定是否发行央行数字货币(CBDC),甚至是否会使用比特币式的区块链技术。但一项启用纸币和硬币的数字替代品的法案将于明年初公布。

欧洲中央银行数字欧元项目经理 Evelien Witlox 在欧洲经济和社会委员会主办的活动中表示,我们为数字欧元的首次发布挑选了三个用例。三个直接应用将是点对点支付,支持家人和朋友之间的交易,实体店或在线商店中的消费者对企业支付,以及向政府或由政府支付的款项。[2022/9/7 13:14:45]

BadgerDAO的目标是将比特币带到DeFi。该项目由各种金库组成,供用户在以太坊上获得wBTC的收益。

Meta社交VR平台Horizo??n副总裁Vivek Sharma将离职:8月27日消息,Meta社交VR平台Horizo??n副总裁Vivek Sharma即将离职。Vivek Sharma在过去六年一直在Facebook母公司Meta任职,在市场和游戏领域担任高级职位,最近还在元宇宙相关新业务部门担任要职。

Meta发言人称,Horizo??n团队现在将直接向Meta元宇宙副总裁Vishal Shah汇报。

Meta首席执行官马克·扎克伯格在最近一期The Joe Rogan Experience播客中表示,该公司将在10月推出一款新的VR头戴设备。(CNBC)[2022/8/27 12:52:08]

据悉,绝大多数的被盗资产是金库存款代币,然后被兑现,底层的BTC则被桥接回比特币网络,任何ERC20代币则留在以太坊上。

Unstoppable Domains与迈阿密市合作,为迈阿密市民提供免费Web3教育:金色财经消息,Web3数字身份平台和NFT域名提供商Unstoppable Domains与迈阿密市的Venture Miami团队合作,加速其本地Web3教育工作。

迈阿密风险投资公司将于2022年6月17日至19日在迈阿密戴德学院举办 \"迈阿密人人共享 \"Web3教育活动。该活动将为迈阿密社区提供一个包容和参与的环境,以了解Web3,同时让有技能的参与者有机会利用其专业知识,通过Web3和传统技术创造社会影响。(prnewswire)[2022/6/17 4:35:50]

这里总结了被盗资金的当前位置?,以供查看。

此外,关于该项目Cloudflare账户被泄露的传言也一直在流传,其他安全漏洞?也是如此。

一用户购买Seth Green被盗的BAYC #8398,引发关于其版权归属的讨论:金色财经消息,一个化名为DarkWing84的用户已经购买了BAYC #8398。现在,法律专家和社区成员正在讨论盗窃对BAYC知识产权的影响。

BAYC许可没有规定盗窃的情况,只是指出:“当你购买一个NFT时,你就完全拥有了潜在的Bored Ape和艺术。”一些人认为,这意味着即使NFT是从盗窃者那里买来的,使用权也会转移给新的所有者。目前Green正在推进一个名为White Horse Tavern的电视节目,其中包含BAYC元素。所以如果上述解释是正确的,Green可能无法继续这个节目,因为他已经失去了商业使用权。

此前5月18日消息,美国演员Seth Green遭遇钓鱼攻击致4个NFT被盗,分别是BAYC #8398、MAYC #9964和#19182以及Doodle #7546。(Cointelegraph)[2022/5/25 3:40:34]

当用户试图进行合法的存款并申请奖励时,这些虚假的批准会被弹出来,以建立一个无限钱包批准的基础,允许攻击者直接从用户的地址转移BTC相关代币。

根据Peckshield的说法,黑客地址的第一个批准实例是近两周前。此后任何与平台互动的人,都可能在无意中批准了攻击者盗取资金。

据悉,共有超过500个地址批准了黑客的地址:

0x1fcdb04d0c5364fbd92c73ca8af9baa72c269107

请立即检查你的批准情况并在此撤销:?

etherscan.io/tokenapprovalchecker

交易实例:耗尽~900byvWBTC,价值超过5000万美元。受害者在大约6小时前通过increaseAllowance()函数批准了攻击者的地址,致使攻击者可以无限制地花费资金。

最终,由于Badger的transferFrom()函数的一个?"不寻常?"的功能,团队暂停了所有活动,防止了资金的进一步流失。

如果像Badger这样声誉卓著的长期项目会被这样打击,而且DeFi中的一些大佬项目也险些遭重?,那么DeFi用户就不能对他们最大bags的安全性过于放心。多样化是生存的关键。

尽管人们通常强调要检查URL,并确保你与适当的渠道进行互动,但在这种情况下,并不会帮到用户。

要知道,前端至少在12天前就被操纵了。

那么Badger怎么没有注意到呢?

11月28日,一名用户在Discord中标记了可疑的increaseAllowance()批准。

为什么Badger的开发人员没有查到呢?

对于有经验的用户来说,这类虚假的批准可能很容易发现,而且在签署交易之前,通过复制/粘贴地址到Etherscan,检查任何合约的有效性都很容易。

但是,为了让DeFi达到"大规模采用",这些额外的预防措施必须被简化。

在那之前,我们只能多用良好的钱包并审慎行事。

---

想要成为科学家嘛?

想要用技术玩转GameFi嘛?

来学习中级四期课程呀,带你理解智能合约语言开发和应用,独立上手开发产品。

开课倒计时3天!有兴趣和需求的抓紧扫码来领取优惠券报名加入,错过这期要等半年啦~

课程详情:https://wnv.h5.xeknow.com/s/3EDAk8

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

[0:15ms0-0:959ms