Подробности недавнего взлома раскрыла команда DeFi-протокола BadgerDAO. По их словам, в ходе атаки хакеры использовали сервис Cloudflare Workers, позволяющий разворачивать скрипты в облачной сети компании.
2/
We believe that all remediation decisions should be made as a community with strong consideration for the long term health of the DAO and victims of this incident.
You can review a detailed technical post mortem of the incident below.
— ₿adgerDAO ? (@BadgerDAO) December 10, 2021
Благодаря сообщению на форуме Cloudflare в конце сентября, разработчики обратили внимание на проблему. Один из участников написал, что неавторизованные пользователи могут регистрировать учетные записи, а также создавать и просматривать API-токены, которые нельзя удалить или деактивировать, до завершения верификации по электронной почте.
Выполнив эти действия злоумышленник может дождаться верификации и завершения регистрации учетной записи, получив таким образом доступ к API.
«Пользовательский интерфейс не дает понять, что учетная запись уже была создана, поэтому был сгенерирован ключ для API. 10 ноября злоумышленник воспользовался доступом к API для внедрения вредоносных скриптов через Cloudflare Workers в html-файл сайта app.badger.com», — сообщили разработчики.
Благодаря этому хакер похитил более $130 млн, но $9 млн можно вернуть, поскольку их еще не вывели из хранилищ протокола. Таким образом, ущерб превысил $121 млн.
На данный момент команда разработчиков уже закрыла эксплойт, сделавший атаку возможной, обновила пароль учетной записи Cloudflare, а также удалила или обновила API-ключи.
Для установления личности хакера BadgerDAO привлекла компании Mandiant и Chainalysis для расследования инцидента. Разработчики добавили, что сотрудничают с правоохранительными органами США и Канады.
Во время интервью Bloomberg представитель Cloudflare акцентировал, что системы компании «не были взломаны», а в сервисе Workers нет уязвимостей.
«На прошлой неделе мы узнали об инциденте с BadgerDAO. Мы связались с командой проекта и оказали активную помощь в расследовании», — заявил он.
Не купил крипту по низу рынка?
Cайт МарафонБет предлагает бонус до 10,000руб. за первый депозит и шанс выиграть крупные суммы на ставках и в увлекательных играх!
iGaming бонусы от партнеров
Попробуй свои силы бесплатно и выигрывай криптовалюту в лучших рекомендованных казино! Наш сайт wheretospin.com предлагает не только лучшие обзоры казино, но и возможность испытать удачу в захватывающих играх.
Присоединяйся прямо сейчас и начни путь к финансовой свободе с WhereToSpin!
New Zealand Casinos WhereToSpin in New Zealand
Kuwait and Middle East Casinos WhereToSpin in Kuwait
South Africa CasinosWhereToSpin in South Africa