一文回顧Badger DAO遭前端攻擊事件，被盜金額排DeFi攻擊第四?_BADGER

路殺，“獾”已死

1.2億美元資金以各種形式的wBTC和ERC20代幣被奪走。前端攻擊使BadgerDAO損失慘重，被盜金額排DeFi攻擊第四。rekt.news再次強調：無限的批準意味著無限的信任--我們知道在DeFi中我們不應該這樣做。但是，如果前端被破壞，是否應該期望普通用戶能夠通過錢包的批準來發現非法的合約呢？一個未知方插入了額外的批準，致使用戶將代幣發送到了攻擊者的地址。從2021年12月2日00:08:23開始，攻擊者使用這些錯誤的信任批準美美飽餐了一頓。當用戶的地址被榨干的消息傳到Badger時，團隊宣布暫停項目的智能合約，惡意交易在開始2小時20分鐘左右開始失效。BadgerDAO的目標是將比特幣帶到DeFi。該項目由各種金庫組成，供用戶在以太坊上獲得wBTC的收益。據悉，絕大多數的被盜資產是金庫存款代幣，然后被兌現，底層的BTC則被橋接回比特幣網絡，任何ERC20代幣則留在以太坊上。這里總結了被盜資金的當前位置，以供查看。此外，關于該項目Cloudflare賬戶被泄露的傳言也一直在流傳，其他安全漏洞也是如此。

Cardano 2月1日活躍地址超13.5萬，為2022年5月以來高點:2月5日消息，根據加密分析師Ali Martinez分享的Santiment數據，Cardano在2月1日經歷了自2022年5月以來的日活躍地址峰值，有近135400個地址在該網絡上交易。

該分析師補充說：“鏈上指標的持續增長可能意味著Cardano區塊鏈使用量的增加。”Cardano Foundation最近發布的數據顯示1月份鏈上指標出現增長。公布的圖片顯示，1月份成交6020萬筆交易，比1月份增長3.86%。最近的IOG統計數據顯示，這一數字已攀升至6040萬筆。（U.Today）[2023/2/5 11:48:37]

NBA總冠軍史蒂芬·庫里和他的SC 30公司均未出現在FTX破產法庭文件的持股名單中:金色財經報道，盡管此前因參與推廣加密貨幣交易平臺FTX 遭到德克薩斯州證券委員會調查并面臨集體訴訟，但根據最新披露文件顯示，與多位和 FTX 有關的體育名人不同，NBA 總冠軍史蒂芬·庫里和他的 SC 30 公司均未出現在 FTX 的持股名單中。據悉，5 次 NFL 超級碗冠軍湯姆·布雷迪擁有 FTX Trading 超過 110 萬股股票，此外 Blackrock、Coinbase、Lightspeed Venture Partners、Pantera Ventures、Tezos Foundation和卡夫集團都作為 FTX 股票持有人被列入特拉華州破產法庭的文件中。（decrypt）[2023/1/11 11:06:01]

當用戶試圖進行合法的存款并申請獎勵時，這些虛假的批準會被彈出來，以建立一個無限錢包批準的基礎，允許攻擊者直接從用戶的地址轉移BTC相關代幣。根據Peckshield的說法，黑客地址的第一個批準實例是近兩周前。此后任何與平臺互動的人，都可能在無意中批準了攻擊者盜取資金。

星巴克將于下個月推出基于web3的忠誠度計劃:金色財經消息，星巴克創始人Howard Schultz在本周與投資者的財報電話會議上預告了星巴克即將推出的web3計劃，星巴克將在下個月的投資者日活動中公布其基于web3的忠誠度計劃，其中包括以咖啡為主題的 NFT。

Howard Schultz表示，該計劃將建立在當前的獎勵模式之上，并將結合數字星巴克獎勵生態系統與星巴克品牌的數字收藏品。該公司今年早些時候宣布了進軍 web3領域的計劃，并指出其NFT不僅可以用作數字收藏品，還可以為其所有者提供獨家內容和其他特權。（techcrunch）[2022/8/4 2:58:06]

英國奢侈品珠寶商Graff向勒索軟件攻擊團伙支付750萬美元比特幣贖金:7月6日消息，據倫敦的一宗訴訟稱，英國奢侈品珠寶商格拉夫鉆石公司（Graff Diamonds Corp.）向一個俄羅斯黑客團伙支付了750萬美元的比特幣贖金，此前該團伙泄露了該珠寶商知名客戶的數據。

Graff就該筆勒索造成的損失起訴其保險公司The Travelers Companies，稱這筆款項應該在其保單中得到賠償。Graff稱，后者拒絕向其支付比特幣贖金。

據悉，2021年9月，勒索軟件組織“Conti”攻擊了這家珠寶商，泄露了沙特、阿聯酋和卡塔爾王室的數據，并索要1500萬美元的比特幣贖金。（彭博社）[2022/7/6 1:54:49]

據悉，共有超過500個地址批準了黑客的地址：0x1fcdb04d0c5364fbd92c73ca8af9baa72c269107請立即檢查你的批準情況并在此撤銷：etherscan.io/tokenapprovalchecker交易實例：耗盡~900byvWBTC，價值超過5000萬美元。受害者在大約6小時前通過increaseAllowance()函數批準了攻擊者的地址，致使攻擊者可以無限制地花費資金。

最終，由于Badger的transferFrom()函數的一個"不尋常"的功能，團隊暫停了所有活動，防止了資金的進一步流失。

如果像Badger這樣聲譽卓著的長期項目會被這樣打擊，而且DeFi中的一些大佬項目也險些遭重，那么DeFi用戶就不能對他們最大bags的安全性過于放心。多樣化是生存的關鍵。盡管人們通常強調要檢查URL，并確保你與適當的渠道進行互動，但在這種情況下，并不會幫到用戶。要知道，前端至少在12天前就被操縱了。那么Badger怎么沒有注意到呢？11月28日，一名用戶在Discord中標記了可疑的increaseAllowance()批準。

為什么Badger的開發人員沒有查到呢？對于有經驗的用戶來說，這類虛假的批準可能很容易發現，而且在簽署交易之前，通過復制/粘貼地址到Etherscan，檢查任何合約的有效性都很容易。但是，為了讓DeFi達到"大規模采用"，這些額外的預防措施必須被簡化。在那之前，我們只能多用良好的錢包并審慎行事。本文來自元宇宙之道，星球日報經授權轉載。

Tags：BADGERADGDGEGERbadger幣能不能漲1000美金BADGER幣ledger錢包官網BABYCRAZYTIGER價格

抹茶交易所