Старые хакерские хитрости: кибермошенники украли криптовалюты на $119 млн
Киберпреступники получили доступ к DeFi-платформе BadgerDAO и с помощью вредоносного скрипта вывели финансовые активы.
На днях у пользователей децентрализованной финансовой платформы BadgerDAO стала пропадать криптовалюта. Выяснилось, что хакеры похитили активы на общую сумму примерно 2 100 BTC ($118,5 млн) и 151 ETH ($679 тыс.). Об этом сообщает Vice.
Примечательно, что для взлома не использовались сложные эксплойты смарт-контрактов. Внешняя атака была направлена на веб-инфраструктуру BadgerDAO посредством учетной записи сети доставки контента Cloudflare. При работе с BadgerDAO пользователи заметили несанкционированные запросы на вывод средств из кошельков Metamask. Взлом обнаружился, когда пользователи увидели, что кошельки просто опустошаются, после чего BadgerDAO приостановил все смарт-контракты.
Служба поддержки Badger объяснила, что кто-то встроил вредоносный скрипт в интерфейс BadgerDAO, получив доступ к аккаунту Cloudflare — сети доставки контента, которая должна была обеспечить безопасность сайта. Ею пользуются миллионы веб-ресурсов по всему миру.
Представители Badger объясняют, что именно аккаунт Cloudflare стал точкой доступа киберпреступников.
"Вредоносный скрипт вынудил людей предоставлять права для отправки токенов на адрес мошенников", — объяснили в компании, пообещав справиться с ситуацией. (По крайней мере, об этом заявили не которые сотрудники).
В последнее время появляется множество DeFi-платформ, подобных BadgerDAO, но из-за мошенников люди, инвестирующие в эту быстро развивающуюся индустрию, теряют миллиарды долларов.
Идея DeFi-платформ в том, чтобы на основе блокчейн-технологии создать финансовые сервисы и инструменты. Например, BadgerDAO разрабатывался как посредник для пользователей, которые, к примеру, хотят обменять свои биткоины и использовать их в криптопроектах на основе Ethereum.
В начале этого года у сервиса криптовалютного кредитования C.R.E.A.M. мошенники похитили $130 млн, а популярная платформа Poly Network потеряла $600 млн, но впоследствии эти деньги были возвращены.
Во взломе BadgerDAO примечательно то, что не использовались смарт-контракты или какие-то изощренные мошеннические приемы с блокчейном. Пострадала только веб-инфраструктура. Как выяснилось, безопасность новой концепции Web 3.0. очень зависима от олдскульных механизмов Web 1.0.
"Целостность всей цепочки зависит от каждого ее звена", — объясняет Дэн Гвидо, основатель Trail of Bits, сервиса, специализирующегося в вопросах безопасности криптовалют. "Badger — хорошо продуманная платформа, здесь используются простые инструменты, такие как Github и одностраничное веб-приложение. Однако для обеспечения целостности цепочки поставок требуется совершенство и мгновенный точный мониторинг безопасности. Если Cloudflare несет ответственность за доставку контента, тогда сервису необходимы надежные меры безопасности. IT-безопасность по-прежнему важна, и для блокчейн-компаний в особенности".
Случай с BadgerDAO обратил на себя внимание известных экспертов.
Так, Мэтью Грин, профессор криптографии и информатики в Университете Джона Хопкинса написал в Twitter: "Забавно, как мало люди, занимающиеся компьютерной безопасностью, знают об экосистеме децентрализованных приложений. Как будто они живут в отеле из "Сияния" и понятия не имеют о происходящем в номере 237". (Отсылка к роману Стивена Кинга).
Ранее Фокус сообщал, что официальные лица Швеции высказались против Bitcoin и Ethereum и хотят запретить майнинг в странах ЕС. Исследования показывают, что упомянутые криптовалюты в течение года расходуют вдвое больше электроэнергии, чем все шведские семьи и предприятия.