Los hackers de BadgerDAO robaron $ 120 millones en criptomonedas en un ataque simple pero efectivo

Puntuación:

El miércoles por la noche, alguien vació fondos de varias carteras de criptomonedas vinculadas a la plataforma financiera descentralizada BadgerDAO. Según el análisis de datos y seguridad de blockchain, Peckshield, que está trabajando con Badger para investigar el robo, los diversos tokens robados en el ataque tienen un valor aproximado de 120 millones de dólares.

Si bien la investigación aún está en curso, los miembros del equipo de Badger dijeron a los usuarios que creían que el problema fue causado por alguien que inyectó un script malicioso en la interfaz de usuario de su sitio web. Para todos los usuarios que interactuaron con el sitio mientras se ejecutaba el script, las transacciones de Web3 serían interceptadas y se ingresaría una solicitud para transferir los tokens de la víctima a la dirección elegida por el atacante.

Debido a la transparencia de las transacciones, podemos ver qué sucedió cuando aumentaron los atacantes. PeckShield apunta a una transferencia en la que más de $ 50 millones en 896 Bitcoins fueron arrastrados a las arcas de los atacantes. Según el equipo, el código malicioso apareció el 10 de noviembre, cuando los atacantes lo ejecutaron a intervalos aparentemente aleatorios para evitar la detección.

Los sistemas financieros descentralizados (o DeFi) se basan en la tecnología blockchain para permitir a los propietarios de criptomonedas realizar transacciones financieras más típicas, como ganar intereses mediante préstamos. BadgerDAO promete a los usuarios que pueden sentarse y relajarse sabiendo que nunca tendrá que renunciar a las claves privadas de su criptomoneda, que puede retirarlas en cualquier momento y que nuestros estrategas trabajan día y noche para garantizar que sus activos estén en funcionamiento. Su protocolo permite a las personas con Bitcoin transferir su criptomoneda a la plataforma Ethereum a través de su token y utilizar oportunidades DeFi a las que de otro modo no tendrían acceso.

Sigue leyendo:  Análisis de precios Shiba Inu, Bitcoin Cash, Uniswap: 28 de octubre

La pausa en los contratos inteligentes continúa por el momento para evitar más retiros. Badger publicará más actualizaciones a medida que estén disponibles.

adgerDAO (@BadgerDAO) 2 de diciembre de 2021

Tan pronto como Badger se enteró de las transmisiones no autorizadas, suspendió todos los contratos inteligentes, esencialmente congelando su plataforma y aconsejando a los usuarios que rechazaran todas las transacciones a las direcciones de los atacantes.

El jueves por la noche, la compañía anunció que había contratado a expertos en datos forenses de Chainalysis para investigar el alcance total del incidente. Se ha informado a las autoridades de Estados Unidos y Canadá.

Badger está investigando, entre otras cosas, cómo el atacante aparentemente accedió a Cloudflare a través de una clave API que debería haber estado protegida por autenticación de dos factores. Si bien el ataque no reveló fallas específicas en la tecnología blockchain en sí, logró aprovechar la antigua tecnología Web 2.0 con la que la mayoría de los usuarios tienen que lidiar. Los sistemas de autenticación de múltiples factores protegen nuestras cuentas de muchos esquemas de phishing o ataques masivos de credenciales. Sin embargo, los expertos advierten repetidamente sobre ataques de phishing dirigidos que pueden solucionar este problema, mientras que los kits de herramientas para automatizar el proceso existen desde hace años. Un aviso del FBI de 2019 (pdf) instó a los delincuentes a desarrollar sus habilidades de escape del MFA y sugirió modificaciones o capacitación que podrían hacer que tales ataques sean más difíciles de llevar a cabo.

uno de los equipos más preocupados por la seguridad de DeFi

La autenticación de dos factores adecuada puede resultar difícil, incluso con aplicaciones financieras típicas. Pregúntele a PayPal. Pero con suerte, incidentes como este, ya sea el secuestro de $ 600 millones robados y devueltos a Poly Network en agosto, o el robo de $ 53 millones que afectó al primer DAO en 2016, serán suficientes para crear conciencia sobre la seguridad más allá de los protocolos y el cifrado.

Sigue leyendo:  Chamat Palihapitiya: Bitcoin (BTC) ya ha reemplazado al oro

Un comentarista de Badgers Discord resumió la situación diciendo: [the] Blockchain / Smart Contract Audit en todo el mundo y las personas pierden $ 120 millones debido a una fuga de la API de Cloudflare de un equipo fallido donde un tipo reaprueba su contrato en el encabezado del sitio: GG. Todavía tenemos un largo camino por recorrer. Un miembro del equipo dijo: Estoy seguro de que hemos sugerido algunos pasos de mitigación después de esto.

Todavía no está claro qué fondos se pueden recuperar y cómo se recuperarán los afectados. Pero para cualquier persona que viva en el mundo de las aplicaciones criptográficas, blockchain y Web3, en última instancia, puede depender de ellos aprender y monitorear cómo funcionan realmente las aprobaciones, firmas y transacciones. Especialmente cuando millones de dólares en inventario pueden desaparecer en un instante, incluso si son administrados por uno de los equipos más conscientes de la seguridad de DeFi, como lo llama el propio Badger.

Imagen: BadgerDAO

Personas criptográficas / de seguridad: * Es posible que * no podamos ejecutar una aplicación de mensajería web segura porque es demasiado insegura.

People Dapp: Recaudamos $ 100 millones usando Javascript impulsado por Cloudflare.

Matthew Green (@matthew_d_green) 2 de diciembre de 2021

Puntuación:
Finanzas News