BAD:一文回顾Badger DAO遭前端攻击事件，被盗金额排DeFi攻击第四?_cointiger币虎兑美元

路杀，“獾”已死

1.2亿美元资金以各种形式的wBTC和ERC20代币被夺走。前端攻击使BadgerDAO损失惨重，被盗金额排DeFi攻击第四。rekt.news再次强调：无限的批准意味着无限的信任--我们知道在DeFi中我们不应该这样做。但是，如果前端被破坏，是否应该期望普通用户能够通过钱包的批准来发现非法的合约呢？一个未知方插入了额外的批准，致使用户将代币发送到了攻击者的地址。从2021年12月2日00:08:23开始，攻击者使用这些错误的信任批准美美饱餐了一顿。当用户的地址被榨干的消息传到Badger时，团队宣布暂停项目的智能合约，恶意交易在开始2小时20分钟左右开始失效。BadgerDAO的目标是将比特币带到DeFi。该项目由各种金库组成，供用户在以太坊上获得wBTC的收益。据悉，绝大多数的被盗资产是金库存款代币，然后被兑现，底层的BTC则被桥接回比特币网络，任何ERC20代币则留在以太坊上。这里总结了被盗资金的当前位置，以供查看。此外，关于该项目Cloudflare账户被泄露的传言也一直在流传，其他安全漏洞也是如此。

DFINITY互联网计算机关于提升容器内存的提案获得通过:9月4日消息，DFINITY互联网计算机社区关于提升智能合约容器（Canister）内存的提案现已获得批准，该提案为提高可扩展性，建议为容器设计一个新的系统API，并将容器内存从4 GB 增加到300 GB。根据提案，若获得通过，后续的提案将遵循所提出的设计思路，并且会有代码更新。

DFINITY中的计算单位被称为容器，包含程序和状态，容器由位于数据中心的节点负责运行，被分配在不同的子网上，以此来实现互联网计算机的扩容。[2021/9/4 23:00:03]

DFINITY 创始人计划针对终端设备发布免费加密操作系统 Endorphin:官方消息，去中心化计算平台 DFINITY 创始人 Dominic Williams 将针对智能手机和其他终端用户设备发布免费开放式加密操作系统「Endorphin」，旨在将互联网计算机（Internet Computer）扩展到终端用户设备来释放整个堆栈。Endorphin 表示，希望所有应用程序（或 DApp）都应使用 HTML、JavaScript、CSS、媒体和 WebAssembly 的组合来构建，使应用程序开发人员不必再受限于 iOS 上的 Swift 和 Android 上的 Java。最终用户不必通过应用商店下载应用程序，而是像网站一样通过传统的 URL 访问应用程序和 DApp，无需繁琐的下载和安装过程，另外，还能在设备桌面上为该应用程序、DApp 或网站创建一个图标，并且该图标不需要框架即可加载。[2021/5/15 22:05:52]

当用户试图进行合法的存款并申请奖励时，这些虚假的批准会被弹出来，以建立一个无限钱包批准的基础，允许攻击者直接从用户的地址转移BTC相关代币。根据Peckshield的说法，黑客地址的第一个批准实例是近两周前。此后任何与平台互动的人，都可能在无意中批准了攻击者盗取资金。

分析 | 继Telegram后 美国SEC或会对Filecoin和DFinity下手:历史上代币融资金额最高的top 50项目，排名融资史第二名的TON已经被美国SEC盯上了，下一个融资金额巨大、并且代币还没有流通的项目，就是Filecoin和DFinity，很有可能，这两个项目之一会成为SEC的下一个目标。Filecoin在2017年8月得到了红杉资本、USV等顶级投资机构共5200万美元的天使轮融资后，通过ICO募资2亿美元。这在当时可以排在融资历史第二，仅次于Tezos。可Filecoin的主网已经推迟了4次，投资者也一直没有收到FIL代币。Dfinity（DFN）也是名震一时的项目，连V神都评价Dfinity可能是以太坊最有力的潜在竞争者。2018年8月，Dfinity完成1.95亿美元的融资，Polychain Capital、Multicoin Capital这些顶级投资机构均参投。不过Dfinity的开发进度也遇到了问题，原计划今年上半年的主网也推迟到了下半年发布，甚至还有可能再次推迟。FIL和DFN目前均没有在市场流通，这非常符合SEC的「用户画像」，TON与SEC现在的关系与处理方式也许会成为Filecoin和Dfinity的经验。（区块律动）[2019/10/15]

据悉，共有超过500个地址批准了黑客的地址：0x1fcdb04d0c5364fbd92c73ca8af9baa72c269107请立即检查你的批准情况并在此撤销：etherscan.io/tokenapprovalchecker交易实例：耗尽~900byvWBTC，价值超过5000万美元。受害者在大约6小时前通过increaseAllowance()函数批准了攻击者的地址，致使攻击者可以无限制地花费资金。

最终，由于Badger的transferFrom()函数的一个"不寻常"的功能，团队暂停了所有活动，防止了资金的进一步流失。

如果像Badger这样声誉卓著的长期项目会被这样打击，而且DeFi中的一些大佬项目也险些遭重，那么DeFi用户就不能对他们最大bags的安全性过于放心。多样化是生存的关键。尽管人们通常强调要检查URL，并确保你与适当的渠道进行互动，但在这种情况下，并不会帮到用户。要知道，前端至少在12天前就被操纵了。那么Badger怎么没有注意到呢？11月28日，一名用户在Discord中标记了可疑的increaseAllowance()批准。

为什么Badger的开发人员没有查到呢？对于有经验的用户来说，这类虚假的批准可能很容易发现，而且在签署交易之前，通过复制/粘贴地址到Etherscan，检查任何合约的有效性都很容易。但是，为了让DeFi达到"大规模采用"，这些额外的预防措施必须被简化。在那之前，我们只能多用良好的钱包并审慎行事。本文来自元宇宙之道，星球日报经授权转载。

标签：BADBADGERGERDGEBadger DAObadger币能不能涨1000美金cointiger币虎兑美元

DAI热门资讯