Vụ hack chấn động BadgerDAO, tổng thiệt hại lên đến 120 triệu đô

Mới đây, BadgerDAO đã bị hacker tấn công giao diện người dùng và rút tiền không giới hạn trong ví của họ, gây ra tổng thiệt hại là 120 triệu đô.

quynhnguyen

Published Dec 01 2021

Updated Sep 05 2022

5 min read

BadgerDAO bị tấn công qua giao diện người dùng

Mới đây, BadgerDAO (BADGER) đã trải qua một cuộc tấn công lớn với thiệt hại ước tính hơn 120 triệu đô. BadgerDAO hoạt động trên mạng lưới Ethereum với mục tiêu tạo ra các sản phẩm và cơ sở hạ tầng cần thiết nhằm đơn giản hóa việc tích hợp Bitcoin vào DeFi. Nền tảng này cũng đã trở thành nạn nhân của một cuộc tấn công nghiêm trọng xảy ra mới đây. Theo thông tin cho biết, hacker đã lợi dụng lỗ hổng bảo mật rút tiền từ ví của người dùng.

BadgerDAO là một giao thức DeFi với hơn 30,000 người dùng đang hoạt động và TVL (tổng giá trị bị khóa trên nền tảng) là 1.2 tỷ đô. Dự án này xếp thứ 23 trong danh sách các dự án Ethereum có TVL cao nhất tính đến thời điểm hiện tại. Vụ tấn công xảy ra vào đầu ngày 1 tháng 12. Ngay sau đó, nhiều người dùng bị thiệt hại đã báo cáo các giao dịch gửi đi kỳ lạ từ ví của họ.

Badger has received reports of unauthorized withdrawals of user funds.

As Badger engineers investigate this, all smart contracts have been paused to prevent further withdrawals.

Our investigation is ongoing and we will release further information as soon as possible.
— ₿adgerDAO 🦡 (@BadgerDAO) December 2, 2021

Người ta nghi ngờ rằng hacker đã khai thác trang web thay vì hợp đồng thông minh của nó. Hacker bị cáo buộc đã chèn một tập lệnh trên trang web của Badger nhằm giới thiệu cho người dùng một giao dịch để tăng thêm phụ cấp. Điều này cho phép kẻ tấn công rút tiền không giới hạn mà người dùng đã gửi vào ví nếu họ chấp thuận giao dịch.

BadgerDAO đã thừa nhận sự cố tấn công vào sáng nay (ngày 2 tháng 11). Trong một tuyên bố mới đây, các nhà phát triển nền tảng xác nhận rằng họ đã nhận được báo cáo về việc rút tiền trái phép của người dùng. Họ đã tạm dừng các smart contract của dự án để điều tra vụ việc trên.

Theo dữ liệu cho thấy, hợp đồng của hacker đã được tạo ra vào ngày 20 tháng 11. Có vẻ như hắn đã đợi cho nhiều người dùng chấp thuận những hợp đồng trước khi bắt đầu rút tiền cùng một lúc vào sáng nay.

Nhận xét về sự cố tấn công trên máy chủ Discord của dự án, một nhà phát triển của Badger - Tritium đã chia sẻ:

“Có vẻ như một nhóm người dùng đã bị mua chuộc trước để chấp thuận những địa chỉ giao dịch lạ và sau đó cuộc tấn công đã diễn ra.”

Here is the current whereabouts as well as the total loss: $120.3M (with ~2.1k BTC + 151 ETH) @BadgerDAO pic.twitter.com/fJ4hJcMWTq
— PeckShield Inc. (@peckshield) December 2, 2021

Công ty kiểm toán smart contract Peckshield đã ước tính tổng thiệt hại lên tới khoảng 120 triệu đô. Trong đó, một người dùng được báo cáo đã mất gần 900 BTC (tương đương 50.7 triệu đô) trong một giao dịch duy nhất.

Cảnh báo của người dùng trước khi vụ hack chấn động xảy ra

Một số người dùng được cho là đã ghi nhận dấu hiệu bị hack cách đây 5 ngày và đã báo cáo vấn đề với các nhà phát triển BadgerDAO. Một ảnh chụp màn hình được đăng bởi người dùng Twitter có tên DeFi Ahab cho thấy rằng một thành viên Discord đã thông báo cho đội ngũ phát triển về lời nhắc tăng phụ cấp, trước khi họ bác bỏ mối quan tâm về vấn đề này.

Badger frontend hack was foreshadowed 5 days ago by a user who noticed abnormality and reported to discord admin. He failed to escalate to dev and the hack blew up today. Lesson for all DeFi community managers. “UI got a bit bugged” is the new meme. pic.twitter.com/fK32aGlIYZ
— DeFi Ahab (@defiahab) December 2, 2021

Những người dùng bị ảnh hưởng đã tạo một kênh Discord riêng để theo dõi hacker. Theo thông tin được chia sẻ cho biết hacker đã thực hiện một số giao dịch được kết nối với việc rút tiền có thể được truy xuất từ các sàn giao dịch tập trung với các yêu cầu xác minh danh tính (KYC).

Look like good progress has been made. Fingers crossed! @BadgerDAO 🙏
— PeckShield Inc. (@peckshield) December 2, 2021

Sau khi sự việc xảy ra, các thành viên trong cộng đồng Badger đã có nhiều bình luận trên kênh Discord và cho biết họ đã xác định được danh tính kẻ tấn công là ai. Peckshield cũng đã tweet và thể hiện sự đồng tình trước các ý kiến được đưa ra.

badger coingecko — Giá BADGER hiện được giao dịch ở mức $21.75. (Nguồn: CoinGecko)

Với tổng thiệt hại 120 triệu đô, đây là một trong những vụ hack DeFi lớn nhất từ trước cho đến nay. Sau sự cố token BADGER đã bị ảnh hưởng nặng và giảm sút 18.9%, được giao dịch ở mức $21.75 tại thời điểm viết bài.

Đọc thêm: Bank of America: Metaverse là cơ hội lớn của thị trường crypto