Хакеры нашли новый способ атаки DeFi-платформы, лишив $100 млн инвесторов BadgerDAO
Хакеры вывели из кошельков клиентов DeFi-платформы BadgerDAO порядка $100 млн, общая сумма потерь пока не подтверждена разработчиками. Они не подозревали о действиях злоумышленников, активно готовивших атаку на протяжении нескольких недель.
Невнимательность объясняется необычным способом взлома, не затронувшего смарт-контрактов, код которых был в полном порядке.
Хакеры взломали интерфейс сайта BadgerDAO, в результате чего клиенты неделями открывали злоумышленникам доступ к кошелькам и право распоряжения средствами. Они сообщали про странные запросы на операции разработчикам платформы, которые не обратили на это внимание, проверив лишь код смарт-контракта, работавший в нормальном режиме.
Сейчас BadgerDAO не знает, сколько кошельков «перехватили» хакеры, но советуют всем клиентам отозвать разрешение на операции для «троянского» смарт-контракта 0x1fcdb04d0c5364fbd92c73ca8af9baa72c269107. Пулы ликвидности платформы временно заморожены.
Ряд аналитиков безопасности считают, что триггером атаки стало получение хакерами доступа к кошельку с балансом 896 BTC. По условиям работы, BadgerDAO самостоятельно конвертировала эти средства в различные токены ERC-20 для последующего их вложения в DeFi-протоколы.