注:原文来自Rekt,以下为全文编译
路杀,“獾”已死。
1.2亿美元资金以各种形式的wBTC和ERC20代币被夺走。
前端攻击使BadgerDAO损失惨重,被盗金额排DeFi攻击第四?。
rekt.news再次强调:
无限的批准意味着无限的信任--我们知道在DeFi中我们不应该这样做。
但是,如果前端被破坏,是否应该期望普通用户能够通过钱包的批准来发现非法的合约呢?
LG电子为其可交易NFT的电视申请专利:金色财经报道,LG电子公司正在为一款能够让用户交易NFT的电视申请专利保护。该设备将能够与NFT市场服务器建立连接,接收和显示预览作品,并通过用户的加密货币钱包完成购买,该钱包将与电视连接。
去年9月,LG开始了将NFT引入其电视的工作,发布了其艺术实验室市场,该市场被插入Hedera网络,LG自2020年以来一直是该网络的节点运营商。[2023/5/12 15:00:12]
一个未知方插入了额外的批准,致使用户将代币发送到了攻击者的地址。从2021年12月2日00:08:23开始,攻击者使用这些错误的信任批准美美饱餐了一顿。
当用户的地址被榨干的消息传到Badger时,团队宣布暂停项目的智能合约,恶意交易在开始2小时20分钟左右开始失效。
算法稳定币协议Olympus将购买更多ETH以支持OHM代币:4月16日消息,算法稳定币协议Olympus社区已通过OIP-137提案投票,将购买更多ETH以支持OHM代币。该OIP为其DAO财务建立了一个新的框架,包括将金库资产配比逐步变为75%的稳定币和25%的定向敞口,目前则由大约79%的稳定资产和21%的波动资产组成,预计此举将使稳定币的敞口减少约2500万美元。[2023/4/16 14:06:43]
BadgerDAO的目标是将比特币带到DeFi。该项目由各种金库组成,供用户在以太坊上获得wBTC的收益。
据悉,绝大多数的被盗资产是金库存款代币,然后被兑现,底层的BTC则被桥接回比特币网络,任何ERC20代币则留在以太坊上。
这里总结了被盗资金的当前位置?,以供查看。
Mojito Markets:因IDO资金存放在FTX上而受到严重影响,已移除LiquidSwap上APT/MOJO流动性:11月16日消息,Aptos 上去中心化交易和预测市场 Mojito Markets 在 Discord 中表示,Mojito Markets 在完成 IDO 之后将资金在 FTX 上交易为了 USDC,还与 Alameda Research 签署了做市商协议,导致项目目前没有可用资金以及做市商。Mojito Markets 目前正在接触包括 Aptos 基金会在内的投资者以试图缓解危机,目前已移除 LiquidSwap 上的 APT/MOJO 流动性,但预测市场、将于 12 月发放的空投以及 FIFA 世界杯预测市场的测试依然会继续进行。[2022/11/16 13:13:06]
此外,关于该项目Cloudflare账户被泄露的传言也一直在流传,其他安全漏洞?也是如此。
英国央行市场事务执行主管:数字货币可能会改变货币政策的传导机制:6月1日消息,英国央行市场事务执行主管Andrew Hauser表示,数字货币可能会使得央行资产发生转移,英国央行是否应该创建数字货币的问题超出了今天评论的范围,央行数字货币对央行资产负债表的影响很大程度上取决于其设计,稳定币持有者必须接受损失惨重的可能性,如果稳定币系统化,作出“买家注意”的警示还不足够,数字货币可能会改变货币政策的传导机制。像英国这样的系统,数字货币可能会导致一些银行增加从市场范围内的贷款。 (金十)[2022/6/2 3:57:11]
Web3游戏和电竞平台Joystick完成800万美元种子轮融资:金色财经报道,据Venturebeat消息,“海外版抖音”Tik Tok网红Michael Le联合创办的Web3游戏和电竞平台Joystick宣布已经完成了一笔800万美元的种子轮融资,但投资方信息暂未披露,目前该公司还在募集一笔高达1.1亿美元的A轮融资。Joystick希望将用户打造成区块链世界中的创业者、电子竞技专业人士或内容创作者,用户只需支付固定的服务费用,而在平台上创造的全部收入均归自己所有。据悉,该公司计划在以太坊上推出基于ERC-20标准的JOY Token,有者将获得奖励分配、游戏资产折扣和优先访问权等福利。[2022/5/21 3:32:21]
当用户试图进行合法的存款并申请奖励时,这些虚假的批准会被弹出来,以建立一个无限钱包批准的基础,允许攻击者直接从用户的地址转移BTC相关代币。
根据Peckshield的说法,黑客地址的第一个批准实例是近两周前。此后任何与平台互动的人,都可能在无意中批准了攻击者盗取资金。
据悉,共有超过500个地址批准了黑客的地址:
0x1fcdb04d0c5364fbd92c73ca8af9baa72c269107
请立即检查你的批准情况并在此撤销:?
etherscan.io/tokenapprovalchecker
交易实例:耗尽~900byvWBTC,价值超过5000万美元。受害者在大约6小时前通过increaseAllowance()函数批准了攻击者的地址,致使攻击者可以无限制地花费资金。
最终,由于Badger的transferFrom()函数的一个?"不寻常?"的功能,团队暂停了所有活动,防止了资金的进一步流失。
如果像Badger这样声誉卓著的长期项目会被这样打击,而且DeFi中的一些大佬项目也险些遭重?,那么DeFi用户就不能对他们最大bags的安全性过于放心。多样化是生存的关键。
尽管人们通常强调要检查URL,并确保你与适当的渠道进行互动,但在这种情况下,并不会帮到用户。
要知道,前端至少在12天前就被操纵了。
那么Badger怎么没有注意到呢?
11月28日,一名用户在Discord中标记了可疑的increaseAllowance()批准。
为什么Badger的开发人员没有查到呢?
对于有经验的用户来说,这类虚假的批准可能很容易发现,而且在签署交易之前,通过复制/粘贴地址到Etherscan,检查任何合约的有效性都很容易。
但是,为了让DeFi达到"大规模采用",这些额外的预防措施必须被简化。
在那之前,我们只能多用良好的钱包并审慎行事。
---
想要成为科学家嘛?
想要用技术玩转GameFi嘛?
来学习中级四期课程呀,带你理解智能合约语言开发和应用,独立上手开发产品。
开课倒计时3天!有兴趣和需求的抓紧扫码来领取优惠券报名加入,错过这期要等半年啦~
课程详情:https://wnv.h5.xeknow.com/s/3EDAk8
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。