120 миллионов долларов в криптовалюте были украдены

1.3K просмотров
Читать на GMGO

В среду вечером кто-то вывел средства с нескольких криптовалютных кошельков, подключенных к децентрализованной финансовой платформе BadgerDAO. По данным компании Peckshield, занимающейся вопросами безопасности блокчейна и анализом данных, которая сотрудничает с Badger в расследовании этого ограбления, стоимость различных токенов, похищенных в результате атаки, составляет около 120 миллионов долларов.

Хотя расследование все еще продолжается, члены команды Badger сообщили пользователям, что, по их мнению, проблема возникла из-за того, что кто-то вставил вредоносный скрипт в пользовательский интерфейс их сайта. Для всех пользователей, которые взаимодействовали с сайтом, когда скрипт был активен, он перехватывал транзакции Web3 и вставлял запрос на перевод токенов жертвы на выбранный злоумышленником адрес.

Благодаря прозрачному характеру транзакций мы можем видеть, что происходило, когда злоумышленники атаковали. PeckShield указывает на один перевод, в результате которого в казну злоумышленников поступило 896 биткоинов на сумму более 50 миллионов долларов. По данным команды, вредоносный код появился еще 10 ноября, и злоумышленники запускали его через, казалось бы, случайные промежутки времени, чтобы избежать обнаружения.

Децентрализованные финансовые (или DeFi) системы опираются на технологию блокчейн, чтобы позволить владельцам криптовалют выполнять более типичные финансовые операции, такие как получение процентов через кредитование. BadgerDAO обещает пользователям, что они могут "спокойно отдыхать, зная, что вам никогда не придется отдавать приватные ключи для вашей криптовалюты, вы можете вывести средства в любое время, а наши стратеги работают день и ночь, чтобы заставить ваши активы работать". Протокол компании позволяет людям, имеющим биткоин, "перевести" свою криптовалюту на платформу Ethereum с помощью ее токена и воспользоваться возможностями DeFi, к которым они иначе не имели бы доступа.

Как только Badger стало известно о несанкционированных переводах, компания приостановила все смарт-контракты, по сути, заморозив свою платформу, и посоветовала пользователям отказаться от всех транзакций на адреса злоумышленников.

В четверг вечером компания заявила, что "привлекла экспертов по криминалистике данных Chainalysis для изучения всех масштабов инцидента, власти США и Канады были проинформированы, и Badger полностью сотрудничает с внешними расследованиями, а также ведет собственное расследование".

Badger расследует, в частности, то, как злоумышленник получил доступ к Cloudflare через API-ключ, который должен был быть защищен двухфакторной аутентификацией. Хотя атака не выявила конкретных недостатков в самой технологии блокчейн, ей удалось использовать более старую технологию "веб 2.0", которую большинство пользователей используют для осуществления транзакций. Системы многофакторной аутентификации защищают наши учетные записи от многих фишинговых схем или массовых атак с вбиванием учетных данных. Тем не менее, эксперты неоднократно предупреждали о целевых фишинговых атаках, которые могут ее обойти, а наборы инструментов для автоматизации этого процесса доступны уже много лет. В уведомлении ФБР от 2019 года (pdf) говорится о растущих возможностях преступников по обходу MFA и предлагаются изменения или обучение, которые могут затруднить проведение таких атак.

ОДНА ИЗ САМЫХ ВНИМАТЕЛЬНЫХ К БЕЗОПАСНОСТИ КОМАНД В DEFI".

Обеспечить правильную двухфакторную аутентификацию может быть непросто даже в типичных финансовых приложениях - достаточно спросить PayPal. Но такие инциденты, как этот, или похищение и возврат 600 миллионов долларов, которому подверглась Poly Network в августе, или ограбление на 53 миллиона долларов, которое произошло с первой в истории DAO в 2016 году, надеюсь, достаточно, чтобы повысить осведомленность о безопасности за пределами протоколов и шифрования.

Один из комментаторов в Discord Badger подытожил ситуацию, сказав: "Все [все] аудиты блокчейна / смарт-контрактов в мире, а люди теряют 120 млн из-за утечки API Cloudflare небрежной командой, где чувак передает новое одобрение своему контракту в заголовке сайта - GG - нам предстоит еще долгий путь". Один из членов команды сказал: "Я уверен, что после этого мы предложим некоторые процедуры по смягчению последствий".

Какие средства могут быть восстановлены и как пострадавшие получат компенсацию, пока неизвестно. Но все, кто живет в мире криптовалют, блокчейна и Web3-приложений, в конечном итоге должны изучить, как на самом деле работают одобрения, подписи и транзакции, и следить за ними. Особенно, когда миллионы долларов могут исчезнуть в одно мгновение, даже если ими управляет "одна из самых безопасных команд в DeFi", как называет себя Badger.