Старі хакерські хитрощі: кібершахраї вкрали криптовалюти на $119 млн

Ethereum, ефір
Фото: Fox News | В основі безпеки проектів Web 3.0 є старі вебтехнології.

Кіберзлочинці отримали доступ до DeFi-платформи BadgerDAO та за допомогою шкідливого скрипту вивели фінансові активи.

Днями в користувачів децентралізованої фінансової платформи BadgerDAO почала зникати криптовалюта. З'ясувалося, що хакери викрали активи на загальну суму приблизно 2 100 BTC ($118,5 млн) і 151 ETH ($679 тис.). Про це повідомляє Vice.

Цікаво, що для злому не використовувалися складні експлойти смарт-контрактів. Зовнішня атака була спрямована на вебінфраструктуру BadgerDAO через обліковий запис мережі доставки контенту Cloudflare. При роботі з BadgerDAO користувачі помітили несанкціоновані запити на виведення коштів із гаманців Metamask. Зламування виявили, коли користувачі побачили, що гаманці просто спустошуються, після чого BadgerDAO призупинив усі смарт-контракти.

Скриншот компанії PeckShield, що спеціалізується на безпеці блокчейн-проектів.

Служба підтримки Badger пояснила, що хтось убудував шкідливий скрипт у інтерфейс BadgerDAO, отримавши доступ до облікового запису Cloudflare — мережі доставки контенту, яка мала забезпечити безпеку сайту. Нею користуються мільйони вебресурсів у всьому світі.

Представники Badger пояснюють, що саме обліковий запис Cloudflare став точкою доступу кіберзлочинців.

"Шкідливий скрипт змусив людей надавати права для відправлення токенів на адресу шахраїв", — пояснили в компанії, пообіцявши впоратися з ситуацією. (Принаймні, про це заявили не якісь співробітники).

Останнім часом з'являється безліч DeFi-платформ, подібних BadgerDAO, але через шахраїв люди, що інвестують у цю індустрію, що швидко розвивається, втрачають мільярди доларів.

Ідея DeFi-платформ у тому, щоб на основі блокчейн-технології створити фінансові сервіси й інструменти. Наприклад, BadgerDAO розроблявся як посередник для користувачів, які, наприклад, хочуть обміняти свої біткоїни та використовувати їх у криптопроектах на основі Ethereum.

На початку цього року сервіс криптовалютного кредитування CREAM шахраїв викрали $130 млн, а популярна платформа Poly Network втратила $600 млн, але згодом ці гроші були повернуті.

У зломі BadgerDAO примітно те, що не використовувалися смарт-контракти або якісь витончені шахрайські прийоми з блокчейном. Постраждала лише вебінфраструктура. Як з'ясувалося, безпека нової концепції Web 3.0. дуже залежить від олдскульних механізмів Web 1.0.

"Цілість всього ланцюжка залежить від кожної його ланки, — пояснює Ден Гвідо, засновник Trail of Bits, сервісу, що спеціалізується на питаннях безпеки криптовалют. — Badger — добре продумана платформа, тут використовуються прості інструменти, такі як Github і односторінковий вебдодаток. Однак для забезпечення цілісності ланцюжка поставок потрібна досконалість і миттєвий точний моніторинг безпеки. Якщо Cloudflare несе відповідальність за доставку контенту, тоді сервісу необхідні надійні заходи безпеки IT-безпека, як і раніше, важлива, і для блокчейн-компаній особливо.

Випадок із BadgerDAO звернув на себе увагу відомих експертів.

Так, Метью Грін, професор криптографії й інформатики в Університеті Джона Гопкінса написав у Twitter: "Смішно, як мало люди, які займаються комп'ютерною безпекою, знають про екосистему децентралізованих додатків. Начебто вони живуть у готелі з "Сяйва" й уявлення не мають про те, що відбувається в номері 237". (Відсилка до роману Стівена Кінга).

Раніше Фокус повідомляв, що офіційні особи Швеції висловилися проти Bitcoin і Ethereum і хочуть заборонити майнінг у країнах ЄС. Дослідження показують, що згадані криптовалюти протягом року витрачають удвічі більше електроенергії, ніж усі шведські сім'ї та підприємства.