路杀,“獾”已死
1.2亿美元资金以各种形式的wBTC和ERC20代币被夺走。前端攻击使BadgerDAO损失惨重,被盗金额排DeFi攻击第四。rekt.news再次强调:无限的批准意味着无限的信任--我们知道在DeFi中我们不应该这样做。但是,如果前端被破坏,是否应该期望普通用户能够通过钱包的批准来发现非法的合约呢?一个未知方插入了额外的批准,致使用户将代币发送到了攻击者的地址。从2021年12月2日00:08:23开始,攻击者使用这些错误的信任批准美美饱餐了一顿。当用户的地址被榨干的消息传到Badger时,团队宣布暂停项目的智能合约,恶意交易在开始2小时20分钟左右开始失效。BadgerDAO的目标是将比特币带到DeFi。该项目由各种金库组成,供用户在以太坊上获得wBTC的收益。据悉,绝大多数的被盗资产是金库存款代币,然后被兑现,底层的BTC则被桥接回比特币网络,任何ERC20代币则留在以太坊上。这里总结了被盗资金的当前位置,以供查看。此外,关于该项目Cloudflare账户被泄露的传言也一直在流传,其他安全漏洞也是如此。
DFG创始人James Wo:加密市值超过2万亿美元,足以引起监管机构的注意:9月26日消息,DFG创始人James Wo在Zoom采访中分享了他对当前加密货币监管环境的看法:当加密货币变得强大时,监管肯定会到来。2017年,加密货币市值对于监管机构来说太小了,但现在市值超过2万亿美元,虽然与更大的资产相比仍然相对较小,但足以引起监管机构的注意。我相信美国是非常积极的,尽管你会看到最近关于Coinbase和SEC的消息,但政府有必要进来看看行业并确定最佳方式真正规范市场。这可能非常复杂,因为我们有CeFi服务,这一点相对清晰,因为你托管了其他人的资产并适合当前的金融体系,还有其他资产符合类似法规,例如受CFTC监管的LedgerX。但是当你提到协议或DeFi时,很难定义。比特币很容易定义,因为它绝对是一种商品。但如果你有像Staking和其他类似协议这样的东西,监管机构需要时间对其进行明确定义。他补充说,一旦监管机构查看细节,他们找到监管业务的方法只是时间问题。(nairametrics)[2021/9/26 17:07:36]
DFG吴彦君:未来NFT可能像互联网的HTTP协议:今日在由ChainInside链读主办的《NFT遇见波卡全国行——上海行》活动上,DFG吴彦君在《NFT未来发展趋势与投资逻辑》主题圆桌中表示,未来的NFT有可能像互联网的HTTP协议,NFT在这一轮牛市爆发出来,除却底层基础框架的支持,更多是因为去中心化存储已非常成熟,使得NFT有更多的拓展场景。另外以太坊已经是上一轮周期的东西,包括TPS的手续费,所以业内在考虑做新的链,以赶上去中心化存储和Layer2。[2021/5/15 22:04:45]
当用户试图进行合法的存款并申请奖励时,这些虚假的批准会被弹出来,以建立一个无限钱包批准的基础,允许攻击者直接从用户的地址转移BTC相关代币。根据Peckshield的说法,黑客地址的第一个批准实例是近两周前。此后任何与平台互动的人,都可能在无意中批准了攻击者盗取资金。
YFX.COM完成数百万美元融资,此前已获得NGC、SNZ、DFG等机构的战略投资:最新消息,跨链去中心化永续合约交易平台YFX.COM宣布完成数百万美元融资,参投机构包括OKEx Blockdream Ventures、PrimeBlock Ventures(MXC Labs)、Gate.io Labs、LD Capital、PetRock Capital、True Edge Capital、R8 Capital、ArkStream Capital、CryptoJ、7 O'Clock Capital、Phoenix VC、NewTribe Capital、Vega Ventures、499Block、Jackdaw Capital、红链资本等海内外投资机构。\u2028YFX.COM 表示即将公布代币YFX的IDO信息。
YFX.COM自2021年1月份以来,目前已经完成ETH(layer2)、BSC、Heco、Tron主网以及OKExChain测试网的上线,能提供高达100倍永续合约交易BTC、ETH等资产,多次通过CertiK 智能合约安全审计,实现了衍生品交易的去中心化部署。[2021/4/26 21:00:09]
据悉,共有超过500个地址批准了黑客的地址:0x1fcdb04d0c5364fbd92c73ca8af9baa72c269107请立即检查你的批准情况并在此撤销:etherscan.io/tokenapprovalchecker交易实例:耗尽~900byvWBTC,价值超过5000万美元。受害者在大约6小时前通过increaseAllowance()函数批准了攻击者的地址,致使攻击者可以无限制地花费资金。
最终,由于Badger的transferFrom()函数的一个"不寻常"的功能,团队暂停了所有活动,防止了资金的进一步流失。
如果像Badger这样声誉卓著的长期项目会被这样打击,而且DeFi中的一些大佬项目也险些遭重,那么DeFi用户就不能对他们最大bags的安全性过于放心。多样化是生存的关键。尽管人们通常强调要检查URL,并确保你与适当的渠道进行互动,但在这种情况下,并不会帮到用户。要知道,前端至少在12天前就被操纵了。那么Badger怎么没有注意到呢?11月28日,一名用户在Discord中标记了可疑的increaseAllowance()批准。
为什么Badger的开发人员没有查到呢?对于有经验的用户来说,这类虚假的批准可能很容易发现,而且在签署交易之前,通过复制/粘贴地址到Etherscan,检查任何合约的有效性都很容易。但是,为了让DeFi达到"大规模采用",这些额外的预防措施必须被简化。在那之前,我们只能多用良好的钱包并审慎行事。本文来自元宇宙之道,星球日报经授权转载。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。