一文回顧Badger DAO遭前端攻擊事件，被盜金額排DeFi攻擊第四?_ETH:The $k0de

路殺，“獾”已死

1.2億美元資金以各種形式的wBTC和ERC20代幣被奪走。前端攻擊使BadgerDAO損失慘重，被盜金額排DeFi攻擊第四。rekt.news再次強調：無限的批準意味著無限的信任--我們知道在DeFi中我們不應該這樣做。但是，如果前端被破壞，是否應該期望普通用戶能夠通過錢包的批準來發現非法的合約呢？一個未知方插入了額外的批準，致使用戶將代幣發送到了攻擊者的地址。從2021年12月2日00:08:23開始，攻擊者使用這些錯誤的信任批準美美飽餐了一頓。當用戶的地址被榨干的消息傳到Badger時，團隊宣布暫停項目的智能合約，惡意交易在開始2小時20分鐘左右開始失效。BadgerDAO的目標是將比特幣帶到DeFi。該項目由各種金庫組成，供用戶在以太坊上獲得wBTC的收益。據悉，絕大多數的被盜資產是金庫存款代幣，然后被兌現，底層的BTC則被橋接回比特幣網絡，任何ERC20代幣則留在以太坊上。這里總結了被盜資金的當前位置，以供查看。此外，關于該項目Cloudflare賬戶被泄露的傳言也一直在流傳，其他安全漏洞也是如此。

新火科技發布中期業績：將專注MPC自托管主要業務，評估決定VASP牌照申請:據官方消息，5月29日，新火科技控股有限公司（股票代碼1611.HK）發布截至2023年3月31日止6個月的中期業績公告。

新火科技表示，對于虛擬資產業務方向規劃，新火科技將專注于多方計算（“MPC”）錢包及其生態增值業務。在區塊鏈MPC錢包業務中，新火科技正利用MPC技術實現私隱保護及資產保安。此外，公司將通過開發PoS算法及應用場景來擴大市場及業務規模，為股東及投資者帶來更高回報。

新火科技同時披露，集團將根據未來業務策略及計劃，評估會否申請VASP牌照。[2023/6/2 11:54:26]

Tether、Circle等穩定幣發行商2022年以來已花費超100萬美元用來游說立法者:金色財經報道，自2022年初以來，包括Tether、Circle 和其他公司在內的穩定幣發行商已花費超過100萬美元在國會山游說立法者。最近，隨著推出與美元掛鉤的數字資產監管的壓力越來越大，穩定幣已成為華盛頓特區關注的焦點。

Tether邀請了Michael Jason Lee的律師事務所進行游說工作，這是一家與兩黨都有聯系的咨詢公司。據公共利益媒體 ProPublica 稱，自 2022 年初以來，Tether 已花費約 60 萬美元，其中每季度花費 12 萬美元用于游說美國參議院和眾議院。而Circle于2021年底開始與戰略咨詢公司Invariant合作進行游說工作，此后至少已花費560,000美元，該公司的季度游說預算目前為100,000美元。[2023/5/19 15:13:26]

當用戶試圖進行合法的存款并申請獎勵時，這些虛假的批準會被彈出來，以建立一個無限錢包批準的基礎，允許攻擊者直接從用戶的地址轉移BTC相關代幣。根據Peckshield的說法，黑客地址的第一個批準實例是近兩周前。此后任何與平臺互動的人，都可能在無意中批準了攻擊者盜取資金。

EthereumPoW自去年9月分叉以來未對其Geth客戶端進行任何代碼更新:金色財經報道，自2022年9月推出以來，EthereumPoW在其GitHub上沒有做出任何軟件提交以改善Geth客戶端。雖然缺乏代碼更新本身并不意味著有問題，但它可能表明EthereumPoW團隊沒有做出任何嘗試來增強網絡的主要客戶端軟件。

這種明顯的缺乏行動昨天引起了ETC合作組織執行董事Bob Summerwill的批評，他在推特上表示，這樣一個低成本的親和力項目擁有超過3億美元的市值，這告訴我們，價格上漲的‘信號’是多么微弱。[2023/4/28 14:33:13]

香港Web3協會成立后多個“香港概念加密項目”上漲:金色財經報道，香港Web3協會成立今日后多個“香港概念加密項目”出現上漲，據Coingecko數據顯示，Conflux（CFX）當前漲幅達到15%、COCOS BCX（COCOS）上漲9.2%、SelfKey（KEY）上漲3.0%、Alchemy Pay（ACH）上漲3.2%、Filecoin（FIL）上漲4.6%。[2023/4/12 13:57:40]

據悉，共有超過500個地址批準了黑客的地址：0x1fcdb04d0c5364fbd92c73ca8af9baa72c269107請立即檢查你的批準情況并在此撤銷：etherscan.io/tokenapprovalchecker交易實例：耗盡~900byvWBTC，價值超過5000萬美元。受害者在大約6小時前通過increaseAllowance()函數批準了攻擊者的地址，致使攻擊者可以無限制地花費資金。

最終，由于Badger的transferFrom()函數的一個"不尋常"的功能，團隊暫停了所有活動，防止了資金的進一步流失。

如果像Badger這樣聲譽卓著的長期項目會被這樣打擊，而且DeFi中的一些大佬項目也險些遭重，那么DeFi用戶就不能對他們最大bags的安全性過于放心。多樣化是生存的關鍵。盡管人們通常強調要檢查URL，并確保你與適當的渠道進行互動，但在這種情況下，并不會幫到用戶。要知道，前端至少在12天前就被操縱了。那么Badger怎么沒有注意到呢？11月28日，一名用戶在Discord中標記了可疑的increaseAllowance()批準。

為什么Badger的開發人員沒有查到呢？對于有經驗的用戶來說，這類虛假的批準可能很容易發現，而且在簽署交易之前，通過復制/粘貼地址到Etherscan，檢查任何合約的有效性都很容易。但是，為了讓DeFi達到"大規模采用"，這些額外的預防措施必須被簡化。在那之前，我們只能多用良好的錢包并審慎行事。本文來自元宇宙之道，星球日報經授權轉載。

Tags：ETHTHEETHEETHERETH2.0The $k0detether幣價格ethereum網絡

區塊鏈