Giao thức Badger DAO (BADGER) đã trở thành dự án DeFi đầu tiên bị tấn công trong tháng 12, với thiệt hại ước tính ban đầu là khoảng 120 triệu USD.
Badger DAO (BADGER) là giao thức DeFi thúc đẩy việc ứng dụng Bitcoin (BTC) vào hệ sinh thái DeFi trên Ethereum. Badger DAO hiện có hai sản phẩm nổi trội trong mảng này là token DIGG neo giá vào BTC và ibBTC, một token Bitcoin trả lãi. Ngoài ra, dự án còn có Sett, một sản phẩm yield farming cho phép người dùng khóa token lại để nhận lãi.
Theo DeFi Llama, Badger DAO đang có giá trị khóa lại là 1,13 tỷ USD, xếp thứ 23 trong danh sách các dự án Ethereum có TVL cao nhất.
Tuy nhiên, vào ngày 02/12, người dùng Badger DAO đã phát hiện một lỗ hổng đối với dự án và đã báo cáo lên đội ngũ quản lý. Những phỏng đoán ban đầu cho thấy Badger DAO đã bị tấn công qua giao diện người dùng của dự án, thay vì là smart contract (hợp đồng thông minh). Cụ thể, nhiều người dùng khi tiến hành nhận phần thưởng yield farming đã nhận được thông báo từ ví, yêu cầu cấp quyền cho các hành động đáng ngờ.
Theo các ước tính ban đầu, hacker lấy đi 185 WBTC, 136.000 cvxCRV, 64.000 veCVX và một lượng lớn token neo giá vào BTC khác, với tổng giá trị là khoảng 10 triệu USD.
Đại diện Badger viết trên kênh Discord của dự án:
“Có vẻ như một số người dùng đã đồng ý cho địa chỉ của kẻ tấn công được tiếp cận đến quỹ tiền của họ và thực hiện rút tiền. Chúng tôi đã đóng băng tất cả smart contract để chặn dòng tiền và đang điều tra nguồn gốc lỗ hổng, số người dùng bị ảnh hưởng nhằm đi đến các quyết định tiếp theo.”
One most affected user (w/ the loss of ~900 BTC): 0x53461e4fddcc1385f1256ae24ce3505be664f249. And here is the transfer-out tx: ?https://t.co/megVFFy2Z8
— PeckShield Inc. (@peckshield) December 2, 2021
Here is the current whereabouts as well as the total loss: $120.3M (with ~2.1k BTC + 151 ETH) @BadgerDAO pic.twitter.com/fJ4hJcMWTq
— PeckShield Inc. (@peckshield) December 2, 2021
Tuy nhiên, theo thống kê của đơn vị bảo mật PeckShield, thiệt hại thực tế có thể lớn hơn nhiều, khi có người dùng đã mất đến 896 BTC, trị giá 50,6 triệu USD ở thời điểm thực hiện bài viết. Tổng lại, số tiền bị bòn rút có thể lên đến 120,3 triệu USD.
Badger DAO sau đó đã công bố thông tin này lên trang Twitter của dự án:
Badger has received reports of unauthorized withdrawals of user funds.
As Badger engineers investigate this, all smart contracts have been paused to prevent further withdrawals.
Our investigation is ongoing and we will release further information as soon as possible.
— ₿adgerDAO ? (@BadgerDAO) December 2, 2021
“Badger đã nhận thông tin về các giao dịch rút tiền người dùng trái phép. Trong khi chúng tôi điều tra, tất cả hợp đồng thông minh sẽ bị đình chỉ để tránh xảy ra thêm thiệt hại. Chúng tôi sẽ cung cấp thêm thông tin ngay khi có thể.”
Giá BADGER đang giảm đến gần 15% sau khi thông tin vụ tấn công được lan truyền.
tổng hợp
