ADG:DeFi第四大惨案：Badger DAO遭前端攻击，损失达1.2亿美元_BRIDGE

作者：

时间：

注：原文来自Rekt，以下为全文编译

路杀，“獾”已死。

1.2亿美元资金以各种形式的wBTC和ERC20代币被夺走。

前端攻击使BadgerDAO损失惨重，被盗金额排DeFi攻击第四?。

rekt.news再次强调：

无限的批准意味着无限的信任--我们知道在DeFi中我们不应该这样做。

但是，如果前端被破坏，是否应该期望普通用户能够通过钱包的批准来发现非法的合约呢？

一个未知方插入了额外的批准，致使用户将代币发送到了攻击者的地址。从2021年12月2日00:08:23开始，攻击者使用这些错误的信任批准美美饱餐了一顿。

已有超9.5亿枚ARB空投被认领，占比约82%:金色财经报道，据 Nansen 数据显示，当前已有超 9.5 亿枚 Arbitrum 代币 ARB 被认领，占此次空投供应量的 82.37%。此次空投符合条件的地址数为 625,143 个，已认领地址数为 509335 个，占比约 81.47%。据行情软件显示，ARB 代币当前报价 1.26 美元。[2023/3/25 13:26:14]

当用户的地址被榨干的消息传到Badger时，团队宣布暂停项目的智能合约，恶意交易在开始2小时20分钟左右开始失效。

BadgerDAO的目标是将比特币带到DeFi。该项目由各种金库组成，供用户在以太坊上获得wBTC的收益。

据悉，绝大多数的被盗资产是金库存款代币，然后被兑现，底层的BTC则被桥接回比特币网络，任何ERC20代币则留在以太坊上。

General Bytes 加密货币 ATM 服务遭到攻击，导致数据库和加密货币被盗:金色财经报道，据General Bytes官方推特消息，General Bytes 加密货币 ATM 服务在3月17、18号受到攻击，攻击者利用系统里的上传接口上传并运行了恶意的Java程序，然后攻击者获得了服务器里数据库的权限和热钱包提币API Key。

根据慢雾MistTrack统计，损失大约180万美金。目前官方已发布事件公告和修复方案，相关用户如有运营此类服务可以立即联系官方。此前消息，General Bytes在2022年8月也遇到了安全事件，但官方没有披露是否有加密货币被盗。[2023/3/19 13:12:51]

这里总结了被盗资金的当前位置?，以供查看。

Kava Network将Kava 12主网发布时间推迟1周至1月25日:1月16日消息，据官方推特，Kava Network宣布将Kava 12主网发布时间推迟1周至UTC时间1月25日15:00（北京时间1月25日23:00）。

此前消息，Kava Network最初宣布将于1月19日推出Kava 12主网，后宣布提起一天至1月18日。据悉，此次更新重点在于发展Kava的链上DAO，核心功能将包括推出Cosmos DAO技术、模块化发行控制、增强Kava DAO功能。[2023/1/16 11:14:26]

此外，关于该项目Cloudflare账户被泄露的传言也一直在流传，其他安全漏洞?也是如此。

数据：11月出现史上第四大比特币投降事件，7天实现损失达-101.6亿美元:金色财经报道，据区块链分析公司Glassnode最新报告显示，11月出现了历史上第四大投降事件，7天实现的损失为-101.6亿美元。这比2018年12月的峰值大4.0倍，比2020年3月大2.2倍。比特币的价格在超过4.5个月的时间里一直低于实现价格，目前短期持有者成本基础为1.883万美元，最近的买家平均损失了12%。上周市场实现了相当于-52.1万枚比特币的净损失，再次接近了历史上的最大记录。将目前的累计净实现损失与新冠疫情和LUNA崩溃相比较，其价格跌幅分别为44%和39%，不过在最近的投降中，市场表现出较大程度的力量，只有26%的修正。[2022/12/4 21:20:56]

当用户试图进行合法的存款并申请奖励时，这些虚假的批准会被弹出来，以建立一个无限钱包批准的基础，允许攻击者直接从用户的地址转移BTC相关代币。

根据Peckshield的说法，黑客地址的第一个批准实例是近两周前。此后任何与平台互动的人，都可能在无意中批准了攻击者盗取资金。