EFI:DeFi第四大慘案：Badger DAO遭前端攻擊，損失達1.2億美元

注：原文來自Rekt，以下為全文編譯

路殺，“獾”已死。

1.2億美元資金以各種形式的wBTC和ERC20代幣被奪走。

前端攻擊使BadgerDAO損失慘重，被盜金額排DeFi攻擊第四?。

rekt.news再次強調：

無限的批準意味著無限的信任--我們知道在DeFi中我們不應該這樣做。

但是，如果前端被破壞，是否應該期望普通用戶能夠通過錢包的批準來發現非法的合約呢？

一個未知方插入了額外的批準，致使用戶將代幣發送到了攻擊者的地址。從2021年12月2日00:08:23開始，攻擊者使用這些錯誤的信任批準美美飽餐了一頓。

藝術家Pussy Riot和Shepard Fairey通過NFT系列為烏克蘭籌集資金:金色財經報道，Pussy Riot的Nadya Tolokonnikova和街頭藝術家Shepard Fairey鼓勵支持者通過NFT的公開版集合為烏克蘭籌集資金。該系列名為Putin's Ashes，將于周五在基于Tezos的NFT市場Objkt上發售。該系列的所有收益將捐贈給自2022年初以來一直與俄羅斯入侵作斗爭的烏克蘭士兵。公開版將于太平洋標準時間周五上午10點開始鑄造，并于2月3日結束。每個NFT的定價為10TEZ（約合11美元）。

Pussy Riot計劃于周五在洛杉磯的Jeffrey Deitch畫廊以抗議和表演的形式開啟該系列。Tolokonnikova于8月開始創作普京的骨灰，當時Pussy Riot成員焚燒了俄羅斯總統弗拉基米爾·普京的肖像以示抗議。從活動中收集骨灰，Tolokonnikova將它們裝瓶，為NFT系列創作藝術品。該系列還采用Fairey標志性風格的作品，描繪了Tolokonnikova身穿緊身胸衣，胸前印有普京，看起來像是在燃燒。[2023/1/27 11:32:06]

當用戶的地址被榨干的消息傳到Badger時，團隊宣布暫停項目的智能合約，惡意交易在開始2小時20分鐘左右開始失效。

數據：TreasureDAO將于明日9:28時解鎖占總量約14.29%的MAGIC Token:1月25日消息，據已獲通過的TIP23提案顯示，TreasureDAO將于明日9:28時解鎖約5000萬枚MAGIC Token，約占MAGIC Token3.5億枚總量的14.29%。[2023/1/25 11:29:30]

BadgerDAO的目標是將比特幣帶到DeFi。該項目由各種金庫組成，供用戶在以太坊上獲得wBTC的收益。

據悉，絕大多數的被盜資產是金庫存款代幣，然后被兌現，底層的BTC則被橋接回比特幣網絡，任何ERC20代幣則留在以太坊上。

這里總結了被盜資金的當前位置?，以供查看。

此外，關于該項目Cloudflare賬戶被泄露的傳言也一直在流傳，其他安全漏洞?也是如此。

趙長鵬：因目前嚴格的稅收制度，幣安不會將業務擴展至印度:11月21日消息，幣安首席執行官趙長鵬在近日的Techcrunch Crypto會議上表示，其并不認為印度是擴大幣安業務的可行國家。他強調：“幣安投資的是那些法規支持加密貨幣和企業的國家。我們不會去我們無法開展可持續業務的國家。”趙長鵬解釋道，印度的環境對加密貨幣并不友好，他尤其對今年早些時候印度政府實施的加密貨幣稅收制度感到沮喪。該國除了對加密貨幣利潤征收30%的稅外，還實施1%的源頭稅收減免 (TDS)。

趙長鵬表示：“我們只能等待。我們正在與一些行業協會和有影響力的人士進行對話，并試圖在其中加入一些邏輯。我們正在努力傳達這一信息，但稅收政策通常需要很長時間才能改變。”（Bitcoin.com）[2022/11/21 7:52:03]

頂級F1方程式VIP俱樂部Amber Lounge與SO-COL合作推出VIP會員NFT:10月1日消息，頂級F1方程式VIP俱樂部Amber Lounge正在與Web3 KOL Irene Zhao創立的Web3 NFT基礎設施公司SO-COL合作推出VIP會員NFT。該NFT開放2000個終身會員資格，將在新加坡大獎賽上推出。其中，Shark Membership NFT將在新加坡大獎賽期間鑄造，這將授予NFT所有者終身訪問全球所有Amber Lounge活動的權限，例如F1大獎賽、卡塔爾國際足聯世界杯等。包含更多特權的Whale Membership NFT將在接下來的幾個月內發布。

據悉，曾出席過Amber Lounge活動的名人嘉賓包括Lewis Hamilton、Nico Rosberg、Justin Bieber、Kim Kardashian、Richard Branson、Gordan Ramsay、Pamela Anderson、Kylie Minogue等。今年也會有著名的Web3創始人加入。[2022/10/1 18:36:59]

當用戶試圖進行合法的存款并申請獎勵時，這些虛假的批準會被彈出來，以建立一個無限錢包批準的基礎，允許攻擊者直接從用戶的地址轉移BTC相關代幣。

根據Peckshield的說法，黑客地址的第一個批準實例是近兩周前。此后任何與平臺互動的人，都可能在無意中批準了攻擊者盜取資金。

據悉，共有超過500個地址批準了黑客的地址：

0x1fcdb04d0c5364fbd92c73ca8af9baa72c269107

請立即檢查你的批準情況并在此撤銷：?

etherscan.io/tokenapprovalchecker

交易實例：耗盡~900byvWBTC，價值超過5000萬美元。受害者在大約6小時前通過increaseAllowance()函數批準了攻擊者的地址，致使攻擊者可以無限制地花費資金。

最終，由于Badger的transferFrom()函數的一個?"不尋常?"的功能，團隊暫停了所有活動，防止了資金的進一步流失。

如果像Badger這樣聲譽卓著的長期項目會被這樣打擊，而且DeFi中的一些大佬項目也險些遭重?，那么DeFi用戶就不能對他們最大bags的安全性過于放心。多樣化是生存的關鍵。

盡管人們通常強調要檢查URL，并確保你與適當的渠道進行互動，但在這種情況下，并不會幫到用戶。

要知道，前端至少在12天前就被操縱了。

那么Badger怎么沒有注意到呢？

11月28日，一名用戶在Discord中標記了可疑的increaseAllowance()批準。

為什么Badger的開發人員沒有查到呢？

對于有經驗的用戶來說，這類虛假的批準可能很容易發現，而且在簽署交易之前，通過復制/粘貼地址到Etherscan，檢查任何合約的有效性都很容易。

但是，為了讓DeFi達到"大規模采用"，這些額外的預防措施必須被簡化。

在那之前，我們只能多用良好的錢包并審慎行事。

---

想要成為科學家嘛？

想要用技術玩轉GameFi嘛？

來學習中級四期課程呀，帶你理解智能合約語言開發和應用，獨立上手開發產品。

開課倒計時3天！有興趣和需求的抓緊掃碼來領取優惠券報名加入，錯過這期要等半年啦~

課程詳情：https://wnv.h5.xeknow.com/s/3EDAk8

Tags：NFTBERDGEEFINFT2Stakecybermilesledger錢包官網地址beFITTER Health

聚幣