作者:谷昱
在過去的DeFi安全事故中,用戶錢包的“批準”權限被惡意利用的情況屢見不鮮,許多DeFi用戶被高APY吸引,向惡意項目網站批準了無上限的代幣使用權限,導致錢包資產在不知情的情況下被項目方團隊盜走,損失慘重。
如今,知名協議BadgerDAO用戶也成為了受害者。12月2日上午,多名BadgerDAO用戶在Discord首先反映了資產被盜的情況,經過討論則發現問題在于Badger.com用戶界面,即用戶界面被黑客攻擊并植入惡意錢包請求,誘導BadgerDAO用戶為惡意地址批準代幣使用權限,而不是項目智能合約存在問題。
Badger DAO提案建議創建BTC支持的穩定幣BAI:據官方消息,去中心化組織Badger DAO社區發起提案,創建BTC支持的穩定幣BAI,包括wBTC、renBTC以及未來其它BTC衍生品。[2021/4/20 20:38:58]
“當用戶試圖進行合法的存款和獎勵領取交易時,這些批準就會出現,建立一個無限制的錢包批準基礎,允許攻擊者直接從用戶地址轉移與BTC相關的代幣。”知名安全博客網站rekt表示。
根據安全公司PeckShield的統計,BadgerDAO用戶總損失約為2100BTC和151ETH,約合1.2億美元,這也是今年被盜金額最高的DeFi安全事故之一。其中,有單個用戶損失超過900個BTC。
歐易OKEx熱門幣種播報:BADGER持續拉升,日內漲幅21.24%:據歐易OKEx平臺數據顯示,今日行情集體拉升,BTC日內小幅下挫,現穩于62,000USDT上方;
據歐易OKEx行情顯示,歐易OKEx日內漲幅榜中,漲幅前三的幣種是:BADGER、MITH、SNT;波卡生態類漲幅最大的是LINK;NFT生態類漲幅最大的是CHZ;
截至4月15日17:00熱門幣種行情如下:[2021/4/15 20:23:08]
Badger核心貢獻者Tritium在Discord上表示:“看起來一堆用戶已經為惡意攻擊地址設置了批準,允許該地址]使用他們的金庫資金并且被利用了。”
Gate.io今日上線DeFi理財BADGER活期挖礦:據官方公告,“Gate.io理財寶”將于2021年1月3日12:00上線《DeFi理財BADGER活期挖礦(浮動利率)》認購,項目期限7天,收益根據網絡產出情況調整。手機App用戶可在行情頁面選擇“理財寶”按鈕參與,手機瀏覽器和電腦Web用戶點擊“理財”-“理財寶”參與。詳情請點擊“原文鏈接”。[2021/1/3 16:19:15]
“一旦我們注意到該事件,就凍結了所有的金庫,所以沒有任何資金可以移動,并試圖弄清楚批準的來源,有多少人擁有它們,以及下一步是什么,”他補充道。
據了解,BadgerDAO的目標是將比特幣引入DeFi。該項目由各種金庫組成,供用戶在以太坊上獲得包裝版BTC的收益。絕大多數被盜資產是金庫存款代幣,黑客已經將其兌現并通過BTC橋接回比特幣網絡,而所有ERC20代幣仍留在以太坊上。
據Coindesk報道,雖然大部分資金在周四上午被轉走,但惡意許可請求可能是在攻擊前幾周提出的。盡管協議合約已暫停,但社區成員建議存款人使用Debank和Unrekt等工具撤銷惡意合約的權限。
受該消息影響,BadgerDAO代幣24小時內下跌超21%,目前價格為21.4美元。
此前,以太坊保險項目NexusMutual曾集成BadgerDAO項目,支持用戶使用ETH或DAI在該平臺購買關于BadgerDAO的保單,但本次攻擊事件發生,該項目發推稱如果這被確認為前端攻擊,BadgerDAO的智能合約沒有受到影響,這不會是一個保險事件。
那么,普通用戶應該如何避免“批準”權限被惡意攻擊的情況?
推特用戶@CryptoCatVC指出,不要相信網站的用戶界面,建議用戶手動從metamask數據中取出智能合約地址,在Etherscan上查看合約,了解合同是全新的嗎、誰部署的、部署者的資金從何而來、是代理嗎等問題。
同時,你需要知道你批準了多少數量的代幣,永遠不要批準超過你計劃使用的數量,以后你可以隨時批準更多。你要對代理的批準要格外嚴格,因為這往往代表著批準很多次的實施。
?
Tags:GERBADADGBADGERcointiger官網下載Aubadebadger幣創始人HONEYBADGER
原創:Web3基金會 來源:Polkadot中文平臺Web3.0的起源和定義“網絡”這個通用術語已經被廣泛使用了32年,但很少有人知道它的定義和起源.
1900/1/1 0:00:00鏈捕手消息,由對沖基金資深人士DanTapiero經營的加密投資公司10T已向美國證券交易委員會提交申請,以創建其第三個數字資產投資基金.
1900/1/1 0:00:00作者:DADA,編輯:門人Twitter、Telegram、Discord,目前加密貨幣項目和社區必備的三件套,其重要程度堪比國內所說的“兩微一抖”.
1900/1/1 0:00:00作者:有匪,分布式資本 前段時間ENS空投引起了人們對中心化域名的關注,誠然去中心化域名可以作為一種Web3身份標識.
1900/1/1 0:00:00文章作者:Messari研究員&DustinTeander文章翻譯:BlockunicornSolana在上個季度受到了大量投資者的關注.
1900/1/1 0:00:00撰文:PiersKicks,JaydenAndrew,均供職于DelphiDigital編譯:PerryWang以?AxieInfinity?為首的區塊鏈游戲.
1900/1/1 0:00:00