BadgerDAO révèle la cause de l'exploit et détaille le plan de récupération

Dans l’un des casses les plus coûteux que l’industrie de la crypto-monnaie ait jamais vu, une attaque de phishing avait coûté des millions de dollars aux jetons BadgerDAO plus tôt cette semaine. Le protocole a maintenant publié une analyse détaillée des transactions non autorisées qui avaient entraîné cette énorme perte de fonds.

Dans un « Post Mortem technique » publié par l’équipe du protocole en partenariat avec la cybersécurité entreprise Mandiant, il a été souligné que l’incident de phishing survenu le 2 décembre était le résultat d’un “extrait de code malveillant fourni par Cloudflare Workers”.

Cloudflare est une interface qui permet aux utilisateurs d’exécuter des scripts qui « fonctionnent et modifient le trafic Web lorsqu’il transite par les proxys Cloudflare ». grâce à une évasion réussie des ingénieurs de Badger. Cet accès API a permis au(x) attaquant(s) d’injecter par la suite du code malveillant dans le protocole de manière périodique afin que seul un sous-ensemble de la base d’utilisateurs soit affecté.

Le diagnostic initial de l’attaque avait expliqué qu’en demandant furtivement des autorisations supplémentaires aux utilisateurs utilisant les coffres Badger, les attaquants avaient reçu l’approbation d’envoyer les jetons des utilisateurs à leur propre adresse.

L’attaque avait commencé dès août-septembre , selon l’analyse de BadgerDAO. Les utilisateurs de Cloudflare avaient d’abord remarqué que les utilisateurs non autorisés pouvaient créer des comptes et pouvaient également créer et afficher des clés API (globales) sans terminer le processus de vérification des e-mails, notant que lors de la vérification des e-mails, l’attaquant se verrait accorder un accès API.

Badger a découvert que trois de ces comptes avaient été créés et avaient reçu des clés API sans autorisation en août et septembre. Cet accès API a été utilisé par l’attaquant le 10 novembre pour injecter des scripts malveillants via Cloudflare Workers dans la page Web du protocole. Les mêmes transactions Web3 ont été interceptées et ont incité les utilisateurs à autoriser une approbation d’adresse étrangère pour fonctionner sur des jetons ERC-20 dans leur portefeuille.

L’analyse a en outre noté,

« L’attaquant a utilisé plusieurs techniques anti-détection dans son attaque. Ils ont appliqué et supprimé le script périodiquement au cours du mois de novembre, souvent pendant de très courtes périodes. L’attaquant n’a également ciblé les portefeuilles que sur un certain solde. ”

Une fois que des alertes concernant une transaction suspecte ont été émises sur Discord, le protocole a interrompu la plupart des activités du coffre-fort dans 30 minutes, tandis que ceux avec un contrat plus ancien ont été arrêtés environ 15 heures plus tard. La grâce salvatrice était le BIP-33 du protocole, qui lui donne la possibilité de suspendre les contrats approuvés sur le contrat de tuteur, empêchant toutes sortes de transactions d’avoir lieu.

Néanmoins, la valeur totale perdue a engrangé plus de 130 millions de dollars, dont seulement 9 millions de dollars sont récupérables, selon le billet de blog. Le protocole vise à récupérer certains fonds qui ont été transférés par l’exploitant mais pas encore retirés des coffres de Badger. Il est également en contact avec Chainalaysis, Mandiant et les échanges cryptographiques ainsi que les autorités des États-Unis et du Canada pour le même.

De plus, Badger effectuera également des audits tiers de tous l’infrastructure web2 et web3 avant de relancer le protocole, avec des plans d’un hack-a-thon et des disques d’éducation également dans le pipeline.

La phase de récupération comprend également le BIP-76, qui vise à la mise à niveau des contrats intelligents. Cela permettra de récupérer les fonds des utilisateurs, d’améliorer la fonctionnalité de mise en pause et d’introduire des garanties supplémentaires via la liste noire. Où investir ?

S’inscrire à notre newsletter