120 millions de dollar volés dans le piratage du site de BadgerDAO

Le site internet de BadgerDAO piraté, pas son protocole

L’attaque s’est produite tôt mercredi. Peu après, de nombreux utilisateurs concernés ont signalé des transactions sortantes suspectes de leurs portefeuilles.

On soupçonne que le pirate a exploité le site Web frontal du protocole plutôt que ses contrats intelligents. Il aurait inséré un script malveillant sur le site Web de Badger qui présentait aux utilisateurs une transaction visant à « augmenter l’allocation », ce qui donnait au pirate la permission illimitée de drainer les fonds que les utilisateurs avaient déposés dans les coffres s’ils approuvaient la transaction.

BadgerDAO a reconnu l’exploit plus tôt ce matin. Dans une déclaration sur Twitter, l’équipe a confirmé qu’elle avait « reçu des rapports de retraits non autorisés de fonds d’utilisateurs« . L’équipe a mis en pause les contrats intelligents du projet et enquête actuellement sur le problème.

Badger a reçu des rapports de retraits non autorisés de fonds d’utilisateurs.

Alors que les ingénieurs de Badger enquêtent à ce sujet, tous les contrats intelligents ont été suspendus pour empêcher d’autres retraits.

Notre enquête est en cours et nous publierons de plus amples informations dès que possible.

– ₿adgerDAO 🦡 (@BadgerDAO) 2 décembre 2021

Selon les données inscrite dans la blockchain, le contrat du hacker a été créé le 20 novembre. Il semble que l’attaquant ait attendu que plusieurs utilisateurs aient approuvé le contrat avant de commencer à vider les fonds en une seule fois ce matin.

Tritium, contributeur principal de Badger, a commenté l’exploit sur le serveur Discord du projet :

« Il semble qu’un certain nombre d’utilisateurs avaient défini des approbations pour l’adresse d’exploitation, permettant à [l’adresse] d’opérer sur leurs fonds de coffre-fort et cela a été exploité.

La société d’audit de contrats intelligents Peckshield a estimé que les pertes totales s’élèvent à environ 120 millions de dollars. Un utilisateur aurait perdu près de 900 bitcoins, d’une valeur actuelle d’environ 50,7 millions de dollars, en une seule transaction.

Certains utilisateurs auraient pris connaissance de l’exploit il y a cinq jours déjà et ont signalé le problème aux développeurs de BadgerDAO. L’équipe, cependant, semble avoir largement ignoré le problème. Une capture d’écran publiée par l’utilisateur Twitter DeFi Ahab montre qu’un membre de Discord répondant au nom de fewture a alerté l’équipe sur l’invitation « augmenter l’allocation », avant que blackbear, membre de l’équipe Badger, ne rejette leurs inquiétudes en disant que c’était probablement parce que « l’interface utilisateur a un peu bugué ».

Les utilisateurs concernés ont déjà créé un canal Discord dédié à la traque du pirate. Les informations publiées suggèrent que le pirate a effectué plusieurs transactions liées au piratage et qu’ils pourraient être retracées jusqu’à des échanges centralisés avec des exigences de connaissance du client (KYC). En théorie, il serait donc plus facile de retrouver le pirate.

À en juger par les récents commentaires sur le canal Discord, les membres de la communauté et les contributeurs principaux de Badger sont convaincus d’avoir déjà identifié l’attaquant. Peckshield semble également soutenir cette théorie, en tweetant que « des progrès ont été réalisés », à peu près au même moment où des informations liées au pirate présumé ont commencé à apparaître dans le canal.

Le secteur de la DeFi a subi d’autres attaques similaires au cours des derniers mois, mais ce type spécifique d’exploit, où l’attaquant a compromis l’interface utilisateur d’un projet plutôt que ses contrats intelligents, a rarement été vu à cette échelle. Avec 120 millions de dollars perdus, c’est l’un des plus gros piratages dans la DeFi à ce jour.

Le jeton natif du projet, BADGER, a été durement touché par l’incident. Il a perdu 17,5 % aujourd’hui et s’échangeait à 22,05 $ au moment de l’écriture de ces lignes.