Старые хакерские хитрости: кибермошенники украли криптовалюты на $119 млн

03.12.2021   16:12    533

Киберпреступники получили доступ к DeFi-платформе BadgerDAO и с помощью вредоносного скрипта вывели финансовые активы.

Источник: focus.ua

На днях у пользователей децентрализованной финансовой платформы BadgerDAO стала пропадать криптовалюта. Выяснилось, что хакеры похитили активы на общую сумму примерно 2 100 BTC ($118,5 млн) и 151 ETH ($679 тыс.). Об этом сообщает Vice.


Примечательно, что для взлома не использовались сложные эксплойты смарт-контрактов. Внешняя атака была направлена на веб-инфраструктуру BadgerDAO посредством учетной записи сети доставки контента Cloudflare. При работе с BadgerDAO пользователи заметили несанкционированные запросы на вывод средств из кошельков Metamask. Взлом обнаружился, когда пользователи увидели, что кошельки просто опустошаются, после чего BadgerDAO приостановил все смарт-контракты.


Скриншот компании PeckShield, специализирующейся в сфере безопасности блокчейн-проектов.

Служба поддержки Badger объяснила, что кто-то встроил вредоносный скрипт в интерфейс BadgerDAO, получив доступ к аккаунту Cloudflare — сети доставки контента, которая должна была обеспечить безопасность сайта. Ею пользуются миллионы веб-ресурсов по всему миру.

Представители Badger объясняют, что именно аккаунт Cloudflare стал точкой доступа киберпреступников.

«Вредоносный скрипт вынудил людей предоставлять права для отправки токенов на адрес мошенников», — объяснили в компании, пообещав справиться с ситуацией. (По крайней мере, об этом заявили не которые сотрудники).

В последнее время появляется множество DeFi-платформ, подобных BadgerDAO, но из-за мошенников люди, инвестирующие в эту быстро развивающуюся индустрию, теряют миллиарды долларов.

Идея DeFi-платформ в том, чтобы на основе блокчейн-технологии создать финансовые сервисы и инструменты. Например, BadgerDAO разрабатывался как посредник для пользователей, которые, к примеру, хотят обменять свои биткоины и использовать их в криптопроектах на основе Ethereum.

В начале этого года у сервиса криптовалютного кредитования C.R.E.A.M. мошенники похитили $130 млн, а популярная платформа Poly Network потеряла $600 млн, но впоследствии эти деньги были возвращены.

Во взломе BadgerDAO примечательно то, что не использовались смарт-контракты или какие-то изощренные мошеннические приемы с блокчейном. Пострадала только веб-инфраструктура. Как выяснилось, безопасность новой концепции Web 3.0. очень зависима от олдскульных механизмов Web 1.0.

«Целостность всей цепочки зависит от каждого ее звена», — объясняет Дэн Гвидо, основатель Trail of Bits, сервиса, специализирующегося в вопросах безопасности криптовалют. «Badger — хорошо продуманная платформа, здесь используются простые и инструменты, такие как Github и одностраничное веб-приложение. Однако для обеспечения целостности цепочки поставок требуется совершенство и мгновенный точный мониторинг безопасности. Если Cloudflare несет ответственность за доставку контента, тогда сервису необходимы надежные меры безопасности. IT-безопасность по-прежнему важна, и для блокчейн-компаний в особенности».

Случай с BadgerDAO обратил на себя внимание известных экспертов.

Так, Мэтью Грин, профессор криптографии и информатики в Университете Джона Хопкинса написал в Twitter: «Забавно, как мало люди, занимающиеся компьютерной безопасностью, знают об экосистеме децентрализованных приложений. Как будто они живут в отеле из «Сияния» и понятия не имеют о происходящем в номере 237″. (Отсылка к роману Стивена Кинга).




Adblock
detector