作者:谷昱
在過去的DeFi安全事故中,用戶錢包的“批准”權限被惡意利用的情況屢見不鮮,許多DeFi用戶被高APY吸引,向惡意項目網站批准了無上限的代幣使用權限,導致錢包資產在不知情的情況下被項目方團隊盜走,損失慘重。
如今, 知名協議Badger DAO 用戶也成為了受害者。 12月2日上午,多名Badger DAO 用戶在Discord首先反映了資產被盜的情況,經過討論則發現問題在於Badger.com用戶界面,即用戶界面被黑客攻擊並植入惡意錢包請求,誘導Badger DAO用戶為惡意地址批准代幣使用權限,而不是項目智能合約存在問題。
“當用戶試圖進行合法的存款和獎勵領取交易時,這些批准就會出現,建立一個無限制的錢包批准基礎,允許攻擊者直接從用戶地址轉移與BTC 相關的代幣。”知名安全博客網站rekt表示。
根據安全公司PeckShield的統計, Badger DAO 用戶總損失約為2100 BTC 和151 ETH,約合1.2億美元,這也是今年被盜金額最高的DeFi安全事故之一。其中,有單個用戶損失超過900個BTC。
Badger 核心貢獻者Tritium 在Discord 上表示:“看起來一堆用戶已經為惡意攻擊地址設置了批准,允許該地址]使用他們的金庫資金並且被利用了。”
“一旦我們注意到該事件,就凍結了所有的金庫,所以沒有任何資金可以移動,並試圖弄清楚批准的來源,有多少人擁有它們,以及下一步是什麼,”他補充道。
據了解,BadgerDAO 的目標是將比特幣引入DeFi。該項目由各種金庫組成,供用戶在以太坊上獲得包裝版BTC 的收益。絕大多數被盜資產是金庫存款代幣,黑客已經將其兌現並通過BTC 橋接回比特幣網絡,而所有ERC20 代幣仍留在以太坊上。
據Coindesk報導,雖然大部分資金在周四上午被轉走,但惡意許可請求可能是在攻擊前幾週提出的。儘管協議合約已暫停,但社區成員建議存款人使用Debank和Unrekt等工具撤銷惡意合約的權限。
受該消息影響,Badger DAO代幣24小時內下跌超21%,目前價格為21.4美元。
此前,以太坊保險項目Nexus Mutual曾集成Badger DAO項目,支持用戶使用ETH或DAI在該平台購買關於Badger DAO的保單,但本次攻擊事件發生,該項目發推稱如果這被確認為前端攻擊, BadgerDAO 的智能合約沒有受到影響,這不會是一個保險事件。
那麼,普通用戶應該如何避免“批准”權限被惡意攻擊的情況?
推特用戶@CryptoCatVC指出,不要相信網站的用戶界面,建議用戶手動從metamask數據中取出智能合約地址,在Etherscan上查看合約,了解合同是全新的嗎、誰部署的、部署者的資金從何而來、是代理嗎等問題。
同時,你需要知道你批准了多少數量的代幣,永遠不要批准超過你計劃使用的數量,以後你可以隨時批准更多。你要對代理的批准要格外嚴格,因為這往往代表著批准很多次的實施。