OKLink:2023年7月安全事件盘点
欧科云链链上卫士:BadgerDAO被攻击损失逾1.1亿美元
一、背景
2021年12月2日10时(HKT),据官方Discord消息,去中心化组织BadgerDAO遭遇黑客攻击,用户资产在未经授权的情况下被转移。官方在注意到这一情况后,已经暂停了所有智能合约以防止进一步的提款,并试图弄清楚授权的来源,以及受影响的范围。
欧科云链链上卫士团队第一时间进行了跟进,经初步分析,攻击方式为黑客前端劫持盗取用户授权后,转移用户各类LP资产。目前,黑客已经转移了2,080枚BTC,损失超1.1亿美元,以下为具体分析过程。
二、攻击细节分析
经链上卫士团队分析,整个攻击过程是授权地址(0x1fcd)将LP转到9个地址,每个地址将LP抛售成wBTC,通过renBTC跨链到BTC网络。
盗取授权地址:0x1fcdb04d0c5364fbd92c73ca8af9baa72c269107
据悉,BadgerDAO成立于2020年,是一个去中心化自治组织,旨在创建一个“一站式”应用程序,加速推动比特币作为其他区块链(当前主要为ETH DeFi生态)抵押品的产品和基础架构,让比特币持有者在其他区块链上赚取高额的年利率,而无需依赖于中心化的平台。
截至发稿,Badger在以太坊上的锁仓量近10.92亿美元,BADGER 24小时最大跌幅近11%,现暂报20.28美元。
目前,链上卫士团队已对相关地址进行了监控,将持续跟进事件进展。
三、总结
本次黑客挟持用户授权的地址是一个私人地址,尽管合约已经暂停,但链上卫士团队提醒用户注意自己的代币合约权限管理,检查是否有将相关代币授权给该私人地址,若有,请及时撤销对恶意合约的授权,以避免进一步的损失,链上卫士也将上线相关工具帮助用户更好地管理对合约的授权。另外,链上卫士团队也建议钱包方在用户与项目进行交互时,对于出现授权给非合约地址的情况时因立刻给出警告,提醒用户相关风险。