注:原文来自Rekt,以下为全文编译
路杀,“獾”已死。
1.2亿美元资金以各种形式的wBTC和ERC20代币被夺走。
前端攻击使BadgerDAO损失惨重,被盗金额排DeFi攻击第四?。
rekt.news再次强调:
无限的批准意味着无限的信任--我们知道在DeFi中我们不应该这样做。
但是,如果前端被破坏,是否应该期望普通用户能够通过钱包的批准来发现非法的合约呢?
一个未知方插入了额外的批准,致使用户将代币发送到了攻击者的地址。从2021年12月2日00:08:23开始,攻击者使用这些错误的信任批准美美饱餐了一顿。
金色晚报 | 7月6日晚间重要动态一览:12:00-21:00关键词:央行营管部、北京金管局、以太坊开发者、瑞士银行、NYDIG、Polkastarter
1. 以太坊开发者计划于Q3进行Eth1和Eth2合并的状态同步
2. 瑞士银行Sygnum现已提供以太坊2.0质押服务
3. 央行营管部、北京金管局发布关于防范虚拟货币交易活动的风险提示
4. Investview报告每月的比特币采矿总收入达220万美元
5. Bancor已将COMP(Compound)加入白名单
6. Allied与NYDIG合作,把比特币服务集成至金融机构账单支付平台
7. 调查:82%的受访机构投资者预计在2023年将增加加密货币敞口
8. Polkastarter发布Q2季度回顾:23个共筹集460万美元
9. Celsius Network CEO:比特币只有挺过最后一次抛售后才可以飙升到14万美元以上[2021/7/6 0:31:42]
当用户的地址被榨干的消息传到Badger时,团队宣布暂停项目的智能合约,恶意交易在开始2小时20分钟左右开始失效。
金色晚报 | 10月26日晚间重要动态一览:12:00-21:00关键词:工信部、瑞士央行、矿池、欧盟、丰田
1. 工信部:推动5G与区块链等技术协同发展;
2. 国际清算银行年底前拟与瑞士央行发行概念验证阶段CBDC;
3. GavinWood:平行链1.0代码或将在两周后上线;
4. 西南地区进入平水期,比特币矿池算力出现大幅下降;
5. 美国国税局:纳税人须披露通过空投或硬分叉获得的加密货币;
6. Harvest Finance:攻击者退回逾247万美元 将比例分配给受影响的储户;
7. 欧盟委员会拒绝“对加密货币节点征税设立受害者基金”请愿书;
8. 丰田子公司已开始进行数字货币实验 用于内部福利工作;
9. V神:以太坊协议面临着协议升级和去中心化治理可能被攻击的问题。[2020/10/26]
BadgerDAO的目标是将比特币带到DeFi。该项目由各种金库组成,供用户在以太坊上获得wBTC的收益。
金色晚报 | 4月22日晚间重要动态一览:12:00-21:00关键词:央视、USDT、稳定币、1000TPS
1. 央视:从交子到数字货币中国将再次引领货币金融创新变革。
2. 报告:过去25天Tether新增铸币10亿USDT。
3. Coinbase:全球市场的不确定性造成了对稳定币需求的激增。
4. 美国法官下令逮捕涉嫌加密的前共和党州参议员。
5. 央行上海总部:区块链技术等为支付创新注入新动力。
6. IOTA基金会成员:Coordicide v1版本将实现1000的网络TPS。
7. imBTC 全面恢复转账交易功能。
8. 进出口银行四川省分行发挥区块链平台优势助力外贸企业复工复产。
9. 人民大学张楠迪扬:区块链在抗疫工作中有很多落地场景。[2020/4/22]
据悉,绝大多数的被盗资产是金库存款代币,然后被兑现,底层的BTC则被桥接回比特币网络,任何ERC20代币则留在以太坊上。
数据:币安过去7天净提款额超36亿美元:12月14日消息,区块链情报平台Nansen的数据显示,从12月7日到12月13日,币安的净提款额约为36.6亿美元。这期间币安的资金总流出量8,783,380,428美元,而资金总流入量约为5,123,069,081美元。此外,虽然币安11月份以太坊ERC-20代币的每日净流入超过20亿美元,但从12月12日至13日,这一数字逆转为超过10亿美元的流出。
Nansen技术人员Andrew Thurman表示,流动性下降可能部分是由于大型做市商退出交易所造成的。研究表明,Wintermute在12月11日至12日期间撤回了超过3亿美元,而Jump Finance在12月12日至13日期间赎回了超过3000万美元的BUSD。
此前消息,赵长鹏针对币安上用户提款增加时表示,其认为轮流在每个CEX上“压力测试取款”是个好主意。(Cointelegraph)[2022/12/14 21:43:46]
这里总结了被盗资金的当前位置?,以供查看。
此外,关于该项目Cloudflare账户被泄露的传言也一直在流传,其他安全漏洞?也是如此。
当用户试图进行合法的存款并申请奖励时,这些虚假的批准会被弹出来,以建立一个无限钱包批准的基础,允许攻击者直接从用户的地址转移BTC相关代币。
根据Peckshield的说法,黑客地址的第一个批准实例是近两周前。此后任何与平台互动的人,都可能在无意中批准了攻击者盗取资金。
据悉,共有超过500个地址批准了黑客的地址:
0x1fcdb04d0c5364fbd92c73ca8af9baa72c269107
请立即检查你的批准情况并在此撤销:?
etherscan.io/tokenapprovalchecker
交易实例:耗尽~900byvWBTC,价值超过5000万美元。受害者在大约6小时前通过increaseAllowance()函数批准了攻击者的地址,致使攻击者可以无限制地花费资金。
最终,由于Badger的transferFrom()函数的一个?"不寻常?"的功能,团队暂停了所有活动,防止了资金的进一步流失。
如果像Badger这样声誉卓著的长期项目会被这样打击,而且DeFi中的一些大佬项目也险些遭重?,那么DeFi用户就不能对他们最大bags的安全性过于放心。多样化是生存的关键。
尽管人们通常强调要检查URL,并确保你与适当的渠道进行互动,但在这种情况下,并不会帮到用户。
要知道,前端至少在12天前就被操纵了。
那么Badger怎么没有注意到呢?
11月28日,一名用户在Discord中标记了可疑的increaseAllowance()批准。
为什么Badger的开发人员没有查到呢?
对于有经验的用户来说,这类虚假的批准可能很容易发现,而且在签署交易之前,通过复制/粘贴地址到Etherscan,检查任何合约的有效性都很容易。
但是,为了让DeFi达到"大规模采用",这些额外的预防措施必须被简化。
在那之前,我们只能多用良好的钱包并审慎行事。
---
想要成为科学家嘛?
想要用技术玩转GameFi嘛?
来学习中级四期课程呀,带你理解智能合约语言开发和应用,独立上手开发产品。
开课倒计时3天!有兴趣和需求的抓紧扫码来领取优惠券报名加入,错过这期要等半年啦~
课程详情:https://wnv.h5.xeknow.com/s/3EDAk8
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。