
損失高達 1.2 億美元!UI 遭植入惡意程式碼,DeFi 平台 BadgerDAO 受攻擊

去中心化金融(DeFi)協議平台 BadgerDAO 被攻擊,多個加密貨幣錢包資金被竊取,損失總價高達 1.2 億美元。
根據 The Verge 報導,雖然目前還在調查遭受攻擊的原因,但 BadgerDAO 團隊成員認為,應該是有人在其網站的使用者介面(UI)植入惡意程式碼(malicious script),因此會攔截使用者的 Web3 交易,並將受害者的 token 轉移到攻擊者指定位址。
換句話說,雖然這次攻擊事件並不代表區塊鏈技術存在資安漏洞,然而,由於今天多數加密貨幣錢包使用者在執行交易時,還是得採用舊有 Web 2.0 技術,這讓駭客有機可趁,得以透過已外洩的 Cloudflare API 密鑰來進行攻擊。
儘管 API 密鑰得通過雙因素認證(two-factor-authentication),但近年來資安專家不斷警告,雙因素認證並非滴水不漏,早就有自動化工具可以讓網路釣魚攻擊跳過雙因素認證。2019 年時,美國聯邦調查局(FBI)也指出,駭客跳過多因素認證機制的能力已經愈來愈強大。
目前團隊已經聘請知名數據資安團隊 Chainalysis 來調查事件,而美國、加拿大政府也收到這次的攻擊資訊,也與團隊進行調查中。
而同樣與 BadgerDAO 進行調查合作的區塊鏈資安公司 Peckshield,也於官方 Twitter 秀出資料指出,有找到一筆 896 比特幣的轉帳資料匯入攻擊者的帳戶,總價超過 5000 萬美元。
Here is the list of funds that were so far transferred out from victims @BadgerDAO pic.twitter.com/P5pOj1YQ2l
— PeckShield Inc. (@peckshield) December 2, 2021
據了解,惡意程式碼應該在 11 月 10 日就出現了,但駭客刻意以隨機間隔時間來進行攻擊,避免被檢測到。只是,這些被竊取的數位資產,究竟哪些可以收回來、又該如何協助受害者恢復原狀,目前都還不清楚。
外媒認為,對生活在加密貨幣、區塊鏈以及 Web3 世界裡的人來說,必須要謹慎理解並密切關注這些技術的運作方式。畢竟,BadgerDAO 曾自稱為「DeFi 裡最有資安意識」的團隊;但就連這樣的團隊,也因失誤而讓超過 1 億美元價值的數位資產瞬間消失。
核稿編輯:Mia
加入 INSIDE 會員,獨享 INSIDE 最精采每日趨勢電子報,未來還有會員專屬內容。 點擊立刻成為會員!
延伸閱讀:
- 幣圈華爾街:DeFi 野蠻生長?不,是「監管 2.0」時代該來了
- STO、DeFi 在台灣有哪些法律議題?區塊鏈法律論壇登場
- 去中心化金融 DeFi 的觀察與心得
- 你的帳號安全嗎?開啟雙步驟驗證和備份粉專教學