Het DeFi-protocol BadgerDAO heeft na een hack meer dan 120 miljoen dollar aan verschillende cryptocurrencies verloren. Op woensdagavond is een hacker erin geslaagd geld te stelen van verschillende crypto-wallets die zijn verbonden met het gedecentraliseerde financiële platform BadgerDAO.
BadgerDAO gehackt: $ 120 miljoen aan geld gestolen uit verschillende portefeuilles
Volgens het rapport van PeckShield, een data- en beveiligingsanalysebedrijf, bedroeg het totale verlies bij de hack ongeveer 2.100 Bitcoin en 151 Ether.
Hier is de huidige verblijfplaats en het totale verlies: $ 120,3 miljoen (met ~ 2,1k BTC + 151 ETH) @BadgerDAO pic.twitter.com/fJ4hJcMWTq
— PeckShield Inc. (@peckshield) 2 december 2021
Op woensdag rond 21.00 uur ET begonnen de gebruikers te klagen over het probleem op het Discord-kanaal van het platform.
Er wordt gespeculeerd dat de hack werd veroorzaakt door een exploit in de gebruikersinterface van Badger.com en niet door een kwetsbaarheid in de kerncontracten.
Een groot aantal gebruikers meldde dat hun portemonnee-providers om extra machtigingen vroegen toen ze probeerden te communiceren met hun Badger-kluizen.
Badger core-bijdrager Tritium verklaarde op Discord dat: “Het lijkt erop dat een aantal gebruikers goedkeuringen hadden ingesteld voor het exploit-adres waardoor [the address] om met hun kluisfondsen te werken en dat werd uitgebuit. Toen we merkten dat we alle kluizen hebben bevroren, zodat er niets kan bewegen, proberen we erachter te komen waar de goedkeuringen vandaan komen, hoeveel mensen ze hebben en wat de volgende stappen zijn.’
De hack wordt officieel bevestigd door een tweet:
Badger heeft meldingen ontvangen van ongeoorloofde opnames van gebruikersgelden.
Terwijl Badger-ingenieurs dit onderzoeken, zijn alle slimme contracten onderbroken om verdere opnames te voorkomen.
Ons onderzoek is aan de gang en we zullen zo snel mogelijk meer informatie vrijgeven.
— adgerDAO
(@BadgerDAO) 2 december 2021
Nadat de aanval door Badger was geïdentificeerd, schortte het platform alle slimme contractbewerkingen op, waardoor het platform effectief werd afgesloten. Gebruikers kregen het advies om transacties naar de adressen van de aanvaller te weigeren.
GoDaddy-datalek: de hack heeft 1,2 miljoen WordPress-sites getroffen
Hoewel hackers het geld woensdagavond hebben gestolen, hadden de kwaadaardige toestemmingen lang voordat de aanval plaatsvond, kunnen worden aangevraagd.