BAD:Badger DAO用戶被盜超1.2億美元：“批準”權限被惡意使用導致的慘案_Badger DAO

作者：谷昱

在過去的DeFi安全事故中，用戶錢包的“批準”權限被惡意利用的情況屢見不鮮，許多DeFi用戶被高APY吸引，向惡意項目網站批準了無上限的代幣使用權限，導致錢包資產在不知情的情況下被項目方團隊盜走，損失慘重。

如今，知名協議BadgerDAO用戶也成為了受害者。12月2日上午，多名BadgerDAO用戶在Discord首先反映了資產被盜的情況，經過討論則發現問題在于Badger.com用戶界面，即用戶界面被黑客攻擊并植入惡意錢包請求，誘導BadgerDAO用戶為惡意地址批準代幣使用權限，而不是項目智能合約存在問題。

Flashbots產品負責人Bert Miller：“0xbaDc0dE”開頭地址在單筆交易中賺了 800 ETH，但一小時后被黑客盜走損失1,100 ETH:金色財經報道，據研究機構 Flashbots 產品負責人 Bert Miller 在社交媒體發文稱，一個“0xbaDc0dE”開頭地址的 MEV Bot 機器人操作員在單筆交易中賺了 800 ETH，但一小時后損失了高達 1,100 ETH，該地址在過去幾個月中執行了 220,000 筆交易。Bert Miller 解釋說，“0xbaDc0dE” 利用了一位試圖在 Uniswap v2 上出售價值 180 萬美元 cUSDC 的用戶，通過將交易與涉及許多不同 DeFi dApp 精心套利交易賺了 800 ETH（102 萬美元），而那位不幸的賣家從該交易中只收到了 500 美元。但僅僅一個小時后，“0xbaDc0dE” 所有 ETH 都被盜了，一名黑客從該錢包中獲取 1,101 ETH（約合 140 萬美元），區塊鏈安全公司 PeckShield 也發現了這筆交易并發布了與黑客相關的鏈上信息。[2022/9/29 22:38:56]

“當用戶試圖進行合法的存款和獎勵領取交易時，這些批準就會出現，建立一個無限制的錢包批準基礎，允許攻擊者直接從用戶地址轉移與BTC相關的代幣。”知名安全博客網站rekt表示。

Badger DAO計劃以30萬美元收購“Badger.com”域名:Badger DAO將以30萬美元收購“Badger.com”域名。據悉，Arben Kane以30萬美元的價格購買了該域名，目的是將所有權轉讓給DAO。因此BadgerDAO創始人正在提出一項提案，要求社區批準使用庫存資金以從Arben購買該域名。（cointelegraph）[2021/3/13 18:41:06]

根據安全公司PeckShield的統計，BadgerDAO用戶總損失約為2100BTC和151ETH，約合1.2億美元，這也是今年被盜金額最高的DeFi安全事故之一。其中，有單個用戶損失超過900個BTC。

Mubadala將向印度數字服務平臺Jio Platforms投資12億美元:印度最大私營集團Reliance Industries及其子公司Jio Platforms宣布，阿布扎比主權財富基金Mubadala Investment Company將向Jio Platforms投資12億美元，后者的股權價值為650億美元、企業價值為680億美元。Mubadala的投資將在完全稀釋的基礎上轉化為Jio Platforms 1.85%的股權。

據悉，Reliance Industries全資子公司Jio Platforms在數字生態系統中進行大量投資，其主要技術包括寬帶連接、智能設備、人工智能、物聯網、區塊鏈等。（Albawaba）[2020/6/7]

Badger核心貢獻者Tritium在Discord上表示：“看起來一堆用戶已經為惡意攻擊地址設置了批準，允許該地址]使用他們的金庫資金并且被利用了。”

“一旦我們注意到該事件，就凍結了所有的金庫，所以沒有任何資金可以移動，并試圖弄清楚批準的來源，有多少人擁有它們，以及下一步是什么，”他補充道。

據了解，BadgerDAO的目標是將比特幣引入DeFi。該項目由各種金庫組成，供用戶在以太坊上獲得包裝版BTC的收益。絕大多數被盜資產是金庫存款代幣，黑客已經將其兌現并通過BTC橋接回比特幣網絡，而所有ERC20代幣仍留在以太坊上。

據Coindesk報道，雖然大部分資金在周四上午被轉走，但惡意許可請求可能是在攻擊前幾周提出的。盡管協議合約已暫停，但社區成員建議存款人使用Debank和Unrekt等工具撤銷惡意合約的權限。

受該消息影響，BadgerDAO代幣24小時內下跌超21%，目前價格為21.4美元。

此前，以太坊保險項目NexusMutual曾集成BadgerDAO項目，支持用戶使用ETH或DAI在該平臺購買關于BadgerDAO的保單，但本次攻擊事件發生，該項目發推稱如果這被確認為前端攻擊，BadgerDAO的智能合約沒有受到影響，這不會是一個保險事件。

那么，普通用戶應該如何避免“批準”權限被惡意攻擊的情況？

推特用戶@CryptoCatVC指出，不要相信網站的用戶界面，建議用戶手動從metamask數據中取出智能合約地址，在Etherscan上查看合約，了解合同是全新的嗎、誰部署的、部署者的資金從何而來、是代理嗎等問題。

同時，你需要知道你批準了多少數量的代幣，永遠不要批準超過你計劃使用的數量，以后你可以隨時批準更多。你要對代理的批準要格外嚴格，因為這往往代表著批準很多次的實施。

?

Tags：BADBADGERDGEADGBadger DAOHONEYBADGERQuantum Resistant LedgerBADGER價格

聚幣