Er is weer een DeFi-protocol het slachtoffer geworden van een hack waarbij meer dan $120 miljoen aan fondsen gestolen werd, aangezien BadgerDAO meldt dat het “ongeoorloofde opnames” van zijn protocol heeft opgemerkt.
BadgerDAO meldde aanvankelijk dat $10 miljoen was gestolen, hoewel rapporten van blockchain-beveiligings- en analysebedrijf PeckShield aangeven dat het aantal dichter bij $120 miljoen zal liggen, meer dan 2100 BTC en 151 ETH. Een erg ongelukkige gebruiker verloor zelfs 900 BTC.
In tegenstelling tot veel andere hacks van DeFi-protocollen, lijkt dit echter geen aanval op het protocol zelf te zijn, maar eerder op de webinterface die het protocol verbindt met de portefeuilles van de gebruikers met het protocol.
Op de BadgerDAO Discord klaagden veel gebruikers dat wanneer hun portefeuilles interactie hadden met BadgerDAO, ze werden geraakt met verzoeken om extra machtigingen om vervolgens hun tokens overgezet zien worden naar portefeuilles die door de hackers werden beheerd.
In reactie hierop zei Badger-ontwikkelaar, Tritium op Discord, het volgende:
“Het lijkt erop dat een aantal gebruikers goedkeuringen hadden ingesteld voor het exploit-adres waardoor het op hun kluisfondsen kon werken en dat werd uitgebuit.”
Op dit moment heeft BadgerDAO besloten om alle smart contracts te pauzeren om verdere opnames te voorkomen terwijl het verder onderzoekt wat de precieze oorzaak is van deze hack. Badger Core-teamlid, Mitche50, reageerde op het “algemene” kanaal met het volgende:
“Het lijkt erop dat een API-sleutel voor Cloudflare is gecompromitteerd. Hierdoor was de hacker in staat om een script te maken, het script in aangepaste routes te injecteren en de frontend te bedienen met het geïnjecteerde kwaadaardige script.”
Cloudflare is een veelgebruikt Amerikaans website-infrastructuurbedrijf dat een netwerk voor contentlevering biedt en sites helpt zich te verdedigen tegen denial-of-service-aanvallen (DoS).
Het is ook onduidelijk of de getroffen gebruikers kunnen worden gecompenseerd voor verliezen door de DAO, of door het verzekeringsprotocol Nexus Mutual, dat een verzekering op BadgerDAO biedt tegen een tarief van 2,6% per jaar.
De algemene voorwaarden van de verzekeraars merken op dat de verzekering alleen “contractbugs, economische aanvallen, inclusief oracle-falen [en] bestuursaanvallen” dekt, en de eigen governance van Nexus kan bepalen dat de huidige exploit buiten het bereik van de dekking valt. Als gevolg hiervan verzamelen Nexus-vertegenwoordigers nog steeds informatie voordat ze een beslissing nemen.
Hoewel deze hack aanzienlijk is, verbleekt hij in vergelijking met enkele van de grootste succesvolle exploits die dit jaar tegen DeFi-protocollen hebben plaatsgevonden. In augustus gingen hackers er bijvoorbeeld met bijna $600 miljoen vandoor nadat ze bugs in het Poly Network hadden uitgebuit. De hacker toonde echter spijt en besloot het geld terug te storten naar het project, waarschijnlijk omdat hij/zij sporen had achtergelaten.