Подробности недавнего взлома раскрыла команда DeFi-протокола BadgerDAO. По их словам, в ходе атаки хакеры использовали сервис Cloudflare Workers, позволяющий разворачивать скрипты в облачной сети компании.
2/
We believe that all remediation decisions should be made as a community with strong consideration for the long term health of the DAO and victims of this incident.
You can review a detailed technical post mortem of the incident below.
— ₿adgerDAO ? (@BadgerDAO) December 10, 2021
Благодаря сообщению на форуме Cloudflare в конце сентября, разработчики обратили внимание на проблему. Один из участников написал, что неавторизованные пользователи могут регистрировать учетные записи, а также создавать и просматривать API-токены, которые нельзя удалить или деактивировать, до завершения верификации по электронной почте.
Выполнив эти действия злоумышленник может дождаться верификации и завершения регистрации учетной записи, получив таким образом доступ к API.
«Пользовательский интерфейс не дает понять, что учетная запись уже была создана, поэтому был сгенерирован ключ для API. 10 ноября злоумышленник воспользовался доступом к API для внедрения вредоносных скриптов через Cloudflare Workers в html-файл сайта app.badger.com», — сообщили разработчики.
Благодаря этому хакер похитил более $130 млн, но $9 млн можно вернуть, поскольку их еще не вывели из хранилищ протокола. Таким образом, ущерб превысил $121 млн.
На данный момент команда разработчиков уже закрыла эксплойт, сделавший атаку возможной, обновила пароль учетной записи Cloudflare, а также удалила или обновила API-ключи.
Для установления личности хакера BadgerDAO привлекла компании Mandiant и Chainalysis для расследования инцидента. Разработчики добавили, что сотрудничают с правоохранительными органами США и Канады.
Во время интервью Bloomberg представитель Cloudflare акцентировал, что системы компании «не были взломаны», а в сервисе Workers нет уязвимостей.
«На прошлой неделе мы узнали об инциденте с BadgerDAO. Мы связались с командой проекта и оказали активную помощь в расследовании», — заявил он.
Не купил крипту по низу рынка?
Попробуй свои силы бесплатно и выигрывай криптовалюту в лучших рекомендованных казино! Наш сайт wheretospin.com предлагает не только лучшие обзоры казино, но и возможность испытать удачу в захватывающих играх.
Присоединяйся прямо сейчас и начни путь к финансовой свободе с WhereToSpin!
Middle East
wheretospininkuwait.com provides a comprehensive selection of trusted online casino reviews for the Middle East أفضل كازينو على الإنترنت. The platform features well-established casinos supporting crypto deposits in the region, including Dream Bet, Haz Casino, Emirbet, YYY Casino, and Casinia.
South Africa and New Zealand
In the South African online casino market, wheretospin.co.za highlights top-rated platforms and online casinos such as True Fortune Casino and DuckyLuck. Meanwhile, for New Zealand players, wheretospin.nz showcases highly recommended casinos, including Casinia, Rooster.bet, and Joo Casino.