Il protocollo DeFi BadgerDAO ha perso più di 120 milioni di dollari in varie criptovalute a seguito di un hack. Mercoledì sera, un hacker è riuscito a rubare fondi da diversi portafogli crittografici collegati alla piattaforma di finanza decentralizzata chiamata BadgerDAO.
BadgerDAO hackerato: $ 120 milioni di fondi rubati da vari portafogli
Secondo il rapporto di PeckShield, una società di analisi di dati e sicurezza, l’importo totale perso nell’hacking è stato di circa 2.100 Bitcoin e 151 Ether.
Ecco la posizione attuale e la perdita totale: $ 120,3 milioni (con ~ 2.1k BTC + 151 ETH) @BadgerDAO pic.twitter.com/fJ4hJcMWTq
— PeckShield Inc. (@peckshield) 2 dicembre 2021
Mercoledì intorno alle 21:00 ET, gli utenti hanno iniziato a lamentarsi del problema sul canale Discord della piattaforma.
Si ipotizza che l’hack sia stato causato da un exploit nell’interfaccia utente di Badger.com e non da una vulnerabilità nei contratti principali.
Un gran numero di utenti ha riferito che i loro fornitori di portafogli chiedevano autorizzazioni aggiuntive quando cercavano di interagire con i loro depositi Badger.
Il contributore principale di Badger, Tritium, ha dichiarato su Discord che: “Sembra che un gruppo di utenti abbia impostato le approvazioni per l’indirizzo dell’exploit che consente [the address] per operare sui loro fondi del caveau e che è stato sfruttato. Una volta notato, abbiamo congelato tutti i caveau in modo che nulla possa muoversi e stiamo cercando di capire da dove provengano le approvazioni, quante persone le hanno e quali sono i prossimi passi”.
L’hack è ufficialmente confermato da un tweet:
Badger ha ricevuto segnalazioni di prelievi non autorizzati di fondi utente.
Mentre gli ingegneri di Badger indagano su questo, tutti i contratti intelligenti sono stati sospesi per prevenire ulteriori prelievi.
La nostra indagine è in corso e rilasceremo ulteriori informazioni il prima possibile.
— adgerDAO
(@BadgerDAO) 2 dicembre 2021
Una volta identificato l’attacco da parte di Badger, la piattaforma ha sospeso tutte le operazioni di smart contract, chiudendo di fatto la piattaforma. Agli utenti è stato consigliato di rifiutare qualsiasi transazione agli indirizzi dell’attaccante.
Violazione dei dati di GoDaddy: l’hack ha colpito 1,2 milioni di siti WordPress
Anche se mercoledì notte gli hacker hanno rubato i fondi, le autorizzazioni dannose avrebbero potuto essere richieste molto prima che l’attacco avesse luogo.