BadgerDAO, un pilier de la finance décentralisée (DeFi), est le dernier en date à avoir été victime d’un piratage après la perte de 120 millions de dollars en diverses crypto-monnaies.
Mercredi soir, un attaquant a drainé les fonds des portefeuilles de dizaines d’utilisateurs du protocole de Badger DAO en utilisant des autorisations de contrat malveillantes. La société d’analyse de données et de sécurité Blockchain PeckShield a conclu que la perte totale s’élevait à environ 2 100 BTC et 151 ETH.
Les utilisateurs ont d’abord signalé des problèmes possibles dans le canal du protocole sur l’application de messagerie Discord mercredi. Selon les spéculations, le piratage serait le résultat d’un piratage dans l’interface utilisateur de Badger.com, et non dans les contrats de base du protocole. De nombreux utilisateurs concernés rapportent qu’en réclamant des récompenses pour le farming de rendement et en interagissant avec les wallets de Badger, ils ont remarqué que leurs fournisseurs de portefeuilles suscitaient des demandes différentes de permissions supplémentaires.
« Il semble qu’un certain nombre d’utilisateurs avaient défini des autorisations pour l’adresse d’exploitation permettant à [l’adresse] d’opérer sur les fonds de leur coffre-fort et cela a été exploité« , a écrit Tritium, contributeur principal de Badger, sur Discord.
« Une fois que nous l’avons remarqué, nous avons gelé tous les wallets pour que rien ne puisse bouger et nous essayons de comprendre d’où viennent les approbations, combien de personnes les ont, et quelles sont les prochaines étapes« , a-t-il ajouté.
Badger a confirmé le piratage sur Twitter :
Badger has received reports of unauthorized withdrawals of user funds.
As Badger engineers investigate this, all smart contracts have been paused to prevent further withdrawals.
Our investigation is ongoing and we will release further information as soon as possible.
— ₿adgerDAO 🦡 (@BadgerDAO) December 2, 2021
Si la majeure partie des fonds a été volé mercredi soir, les demandes de permission malveillantes peuvent avoir été faites des semaines avant l’attaque. Bien que les contrats de protocole soient en pause, les membres de la communauté conseillent aux déposants d’utiliser des outils comme Debank et Unrekt pour révoquer les autorisations du contrat malveillant.
Le jeton BADGER de BadgerDAO a baissé de 21 % à 21,64 $ au cours des dernières 24 heures.
