BADGER:一文回顧Badger DAO遭前端攻擊事件，被盜金額排DeFi攻擊第四?

路殺，“獾”已死

1.2億美元資金以各種形式的wBTC和ERC20代幣被奪走。前端攻擊使BadgerDAO損失慘重，被盜金額排DeFi攻擊第四。rekt.news再次強調：無限的批準意味著無限的信任--我們知道在DeFi中我們不應該這樣做。但是，如果前端被破壞，是否應該期望普通用戶能夠通過錢包的批準來發現非法的合約呢？一個未知方插入了額外的批準，致使用戶將代幣發送到了攻擊者的地址。從2021年12月2日00:08:23開始，攻擊者使用這些錯誤的信任批準美美飽餐了一頓。當用戶的地址被榨干的消息傳到Badger時，團隊宣布暫停項目的智能合約，惡意交易在開始2小時20分鐘左右開始失效。BadgerDAO的目標是將比特幣帶到DeFi。該項目由各種金庫組成，供用戶在以太坊上獲得wBTC的收益。據悉，絕大多數的被盜資產是金庫存款代幣，然后被兌現，底層的BTC則被橋接回比特幣網絡，任何ERC20代幣則留在以太坊上。這里總結了被盜資金的當前位置，以供查看。此外，關于該項目Cloudflare賬戶被泄露的傳言也一直在流傳，其他安全漏洞也是如此。

環球音樂集團提交涉及NFT的商標申請:金色財經報道，根據美國專利商標局官方網站信息顯示，環球音樂集團（Universal Music GmbH）已針對通過 NFT 認證的音樂相關虛擬和數字商品向美國專利商標局提交了兩份美國商標申請，包括不可下載和可下載的虛擬數字商品，即通過NFT認證的音樂及音樂相關娛樂領域的多媒體、圖像、視頻、音樂和音頻文件；與音樂藝術家、團體、名人、時尚引領者、有影響力的人、唱片公司和娛樂節目相關的不可下載的虛擬和數字商品。[2023/3/23 13:21:02]

美國聯邦當局查封與破產的FTX有關的額外資產:金色財經報道，美國聯邦當局周五表示，查封了與FTX有關的額外資產，繼續努力控制與這家倒閉加密貨幣交易所有關的數億美元。美國司法部在向特拉華州威爾明頓的美國破產法院提交的一份文件中表示，已從Moonstone Bank和Silvergate Capital Corp.的賬戶中查封了5,600萬美元和8,700萬歐元（約合9,450萬美元）。[2023/1/22 11:25:46]

當用戶試圖進行合法的存款并申請獎勵時，這些虛假的批準會被彈出來，以建立一個無限錢包批準的基礎，允許攻擊者直接從用戶的地址轉移BTC相關代幣。根據Peckshield的說法，黑客地址的第一個批準實例是近兩周前。此后任何與平臺互動的人，都可能在無意中批準了攻擊者盜取資金。

Jim Cramer：仍在研究Coinbase股票和加密貨幣:金色財經報道，前對沖基金經理、CNBC節目主持人Jim Cramer發推稱，他正在“研究”Coinbase Global Inc.（納斯達克股票代碼：COIN），Cramer表示他對Coinbase股票看漲。然而，自2021年11月最新的“加密貨幣冬天”開始以來，他一直看空加密資產和Coinbase股票。（cryptoglobe）[2022/8/6 12:06:35]

知情人士：Riot Blockchain聘請野村控股并購董事總經理Jason Chung擔任企業發展主管:6月1日消息，據知情人士透露，比特幣基礎設施公司Riot Blockchain已聘請野村控股的并購董事總經理Jason Chung擔任其企業發展負責人，以幫助該公司的業務進行戰略交易。Jason Chung自2014年以來一直在野村控股從事并購工作，先是在紐約，然后在香港，在此之前，他在法國興業銀行工作了大約八年。野村控股和Riot Blockchain均未回應置評請求。（彭博社）[2022/6/1 3:55:28]

據悉，共有超過500個地址批準了黑客的地址：0x1fcdb04d0c5364fbd92c73ca8af9baa72c269107請立即檢查你的批準情況并在此撤銷：etherscan.io/tokenapprovalchecker交易實例：耗盡~900byvWBTC，價值超過5000萬美元。受害者在大約6小時前通過increaseAllowance()函數批準了攻擊者的地址，致使攻擊者可以無限制地花費資金。

最終，由于Badger的transferFrom()函數的一個"不尋常"的功能，團隊暫停了所有活動，防止了資金的進一步流失。

如果像Badger這樣聲譽卓著的長期項目會被這樣打擊，而且DeFi中的一些大佬項目也險些遭重，那么DeFi用戶就不能對他們最大bags的安全性過于放心。多樣化是生存的關鍵。盡管人們通常強調要檢查URL，并確保你與適當的渠道進行互動，但在這種情況下，并不會幫到用戶。要知道，前端至少在12天前就被操縱了。那么Badger怎么沒有注意到呢？11月28日，一名用戶在Discord中標記了可疑的increaseAllowance()批準。

為什么Badger的開發人員沒有查到呢？對于有經驗的用戶來說，這類虛假的批準可能很容易發現，而且在簽署交易之前，通過復制/粘貼地址到Etherscan，檢查任何合約的有效性都很容易。但是，為了讓DeFi達到"大規模采用"，這些額外的預防措施必須被簡化。在那之前，我們只能多用良好的錢包并審慎行事。本文來自元宇宙之道，星球日報經授權轉載。

Tags：DGEBADBADGERGERethicaljudgementHONEYBADGERBURGER

火必交易所