ADG:Badger DAO用户被盗超1.2亿美元：“批准”权限被恶意使用导致的惨案_BADGER

作者：谷昱

在过去的DeFi安全事故中，用户钱包的“批准”权限被恶意利用的情况屡见不鲜，许多DeFi用户被高APY吸引，向恶意项目网站批准了无上限的代币使用权限，导致钱包资产在不知情的情况下被项目方团队盗走，损失惨重。

如今，知名协议BadgerDAO用户也成为了受害者。12月2日上午，多名BadgerDAO用户在Discord首先反映了资产被盗的情况，经过讨论则发现问题在于Badger.com用户界面，即用户界面被黑客攻击并植入恶意钱包请求，诱导BadgerDAO用户为恶意地址批准代币使用权限，而不是项目智能合约存在问题。

BadgerDAO发布eBTC协议紫皮书，为DeFi引入抗审查的合成比特币:7月26日消息，专注于将比特币引入DeFi的去中心化自治组织BadgerDAO发布了其eBTC协议的紫皮书，推出了一种抵抗审查的DeFi合成比特币。用户可以使用Lido的stETH，以0%的利息、偿还费和启动费借用eBTC，这种设计旨在为用户提供高效、经济的资产访问方式。eBTC协议通过从总系统抵押品中获取一定比例的质押收益，即协议收益份额，来产生收入。为确保系统的偿付能力，eBTC采用了清算机制，即如果抵押债务比例低于最低的110%，债务头寸就有资格被清算。在债务头寸未被清算，但其抵押比例下降至103%以下的情况下，协议将其视为抵押不足，并实施债务再分配。[2023/7/26 15:59:51]

“当用户试图进行合法的存款和奖励领取交易时，这些批准就会出现，建立一个无限制的钱包批准基础，允许攻击者直接从用户地址转移与BTC相关的代币。”知名安全博客网站rekt表示。

Badger DAO已将AMP列入白名单:去中心化交易协议Bancor?（BNT）发推称，AMP已被BancorDAO列入白名单。[2021/2/19 17:31:36]

根据安全公司PeckShield的统计，BadgerDAO用户总损失约为2100BTC和151ETH，约合1.2亿美元，这也是今年被盗金额最高的DeFi安全事故之一。其中，有单个用户损失超过900个BTC。

Badger核心贡献者Tritium在Discord上表示：“看起来一堆用户已经为恶意攻击地址设置了批准，允许该地址]使用他们的金库资金并且被利用了。”

动态 | RAM持仓大户xxbadpandaxx已清仓RAM:据IMEOS报道，RAM持仓大户xxbadpandaxx，于今日凌晨清仓，导致RAM价格大幅下跌。[2018/11/24]

“一旦我们注意到该事件，就冻结了所有的金库，所以没有任何资金可以移动，并试图弄清楚批准的来源，有多少人拥有它们，以及下一步是什么，”他补充道。

据了解，BadgerDAO的目标是将比特币引入DeFi。该项目由各种金库组成，供用户在以太坊上获得包装版BTC的收益。绝大多数被盗资产是金库存款代币，黑客已经将其兑现并通过BTC桥接回比特币网络，而所有ERC20代币仍留在以太坊上。

据Coindesk报道，虽然大部分资金在周四上午被转走，但恶意许可请求可能是在攻击前几周提出的。尽管协议合约已暂停，但社区成员建议存款人使用Debank和Unrekt等工具撤销恶意合约的权限。

受该消息影响，BadgerDAO代币24小时内下跌超21%，目前价格为21.4美元。

此前，以太坊保险项目NexusMutual曾集成BadgerDAO项目，支持用户使用ETH或DAI在该平台购买关于BadgerDAO的保单，但本次攻击事件发生，该项目发推称如果这被确认为前端攻击，BadgerDAO的智能合约没有受到影响，这不会是一个保险事件。

那么，普通用户应该如何避免“批准”权限被恶意攻击的情况？

推特用户@CryptoCatVC指出，不要相信网站的用户界面，建议用户手动从metamask数据中取出智能合约地址，在Etherscan上查看合约，了解合同是全新的吗、谁部署的、部署者的资金从何而来、是代理吗等问题。

同时，你需要知道你批准了多少数量的代币，永远不要批准超过你计划使用的数量，以后你可以随时批准更多。你要对代理的批准要格外严格，因为这往往代表着批准很多次的实施。

?

标签：ADGBADDGEBADGERADG价格BAD价格Zero Knowledge PodcastTruBadger

Uniswap热门资讯