DeFi第四大惨案：Badger DAO遭前端攻击，损失达1.2亿美元_AAVE:DeFi on MCW

注：原文来自Rekt，以下为全文编译

路杀，“獾”已死。

1.2亿美元资金以各种形式的wBTC和ERC20代币被夺走。

前端攻击使BadgerDAO损失惨重，被盗金额排DeFi攻击第四?。

rekt.news再次强调：

无限的批准意味着无限的信任--我们知道在DeFi中我们不应该这样做。

但是，如果前端被破坏，是否应该期望普通用户能够通过钱包的批准来发现非法的合约呢？

一个未知方插入了额外的批准，致使用户将代币发送到了攻击者的地址。从2021年12月2日00:08:23开始，攻击者使用这些错误的信任批准美美饱餐了一顿。

AAX将于今日开放AAVE交易服务，并开放AAVE充值、提现功能:据AAX交易所官网公告，AAX将支持Aave Protocol(LEND)智能合约置换为Aave Protocol(AAVE)的计划。时间表显示AAX已于近日赎回用户的所有LEND资产，并将于10月19日-20日期间按照100LEND=1AAVE的比率进行转换。10月20日，AAX将上线AAVE，并向用户发放AAVE，并同一时间开放AAVE交易服务，开放AAVE充值、提现功能。[2020/10/20]

当用户的地址被榨干的消息传到Badger时，团队宣布暂停项目的智能合约，恶意交易在开始2小时20分钟左右开始失效。

BadgerDAO的目标是将比特币带到DeFi。该项目由各种金库组成，供用户在以太坊上获得wBTC的收益。

AAX 10月期货交易大赛第一轮总注册用户为373人:据AAX官网公告，AAX10月期货交易大赛第一轮活动已圆满结束。活动期间总注册用户为373人，总奖池为5 BTC。其中合资格用户将根据交易量权重分享4.75BTC，而剩余0.25 BTC将以幸运抽奖形式派发于10位用户。第二轮10月期货交易大赛现已开启，具体详情请见原文链接。[2020/10/19]

据悉，绝大多数的被盗资产是金库存款代币，然后被兑现，底层的BTC则被桥接回比特币网络，任何ERC20代币则留在以太坊上。

这里总结了被盗资金的当前位置?，以供查看。

此外，关于该项目Cloudflare账户被泄露的传言也一直在流传，其他安全漏洞?也是如此。

AAX与Quadency达成战略合作:据官网消息，AAX交易所已与加密领域领先的自动化交易平台之一的Quadency达成合作。交易用户可以通过Quadency接入AAX，更高效地进行期货和现货交易。

Quadency是一个支持多家交易所的交易终端。用户可以在线监控他们的加密资产，并跟踪其表现。截止10月31日，在Quadency上注册并接入AAX的用户，将有资格获得最高100美元的奖励。更多详情请点击阅读原文。[2020/9/24]

当用户试图进行合法的存款并申请奖励时，这些虚假的批准会被弹出来，以建立一个无限钱包批准的基础，允许攻击者直接从用户的地址转移BTC相关代币。

AAX平台币AAB单日回购销毁创历史新高:据AAX官网显示，AAX平台币AAB 8月14日第118次回购销毁达676,260.53枚，再创历史单日回购销毁数量新高。AAX平台期货收入100%用于AAB的每日回购销毁，直至AAB总供应量的50%被销毁。回购的所有AAB将被永久销毁并上链审计。截止今日AAB已累计销毁2,175,529.73枚AAB。[2020/8/14]

根据Peckshield的说法，黑客地址的第一个批准实例是近两周前。此后任何与平台互动的人，都可能在无意中批准了攻击者盗取资金。

据悉，共有超过500个地址批准了黑客的地址：

0x1fcdb04d0c5364fbd92c73ca8af9baa72c269107

请立即检查你的批准情况并在此撤销：?

etherscan.io/tokenapprovalchecker

交易实例：耗尽~900byvWBTC，价值超过5000万美元。受害者在大约6小时前通过increaseAllowance()函数批准了攻击者的地址，致使攻击者可以无限制地花费资金。

最终，由于Badger的transferFrom()函数的一个?"不寻常?"的功能，团队暂停了所有活动，防止了资金的进一步流失。

如果像Badger这样声誉卓著的长期项目会被这样打击，而且DeFi中的一些大佬项目也险些遭重?，那么DeFi用户就不能对他们最大bags的安全性过于放心。多样化是生存的关键。

尽管人们通常强调要检查URL，并确保你与适当的渠道进行互动，但在这种情况下，并不会帮到用户。

要知道，前端至少在12天前就被操纵了。

那么Badger怎么没有注意到呢？

11月28日，一名用户在Discord中标记了可疑的increaseAllowance()批准。

为什么Badger的开发人员没有查到呢？

对于有经验的用户来说，这类虚假的批准可能很容易发现，而且在签署交易之前，通过复制/粘贴地址到Etherscan，检查任何合约的有效性都很容易。

但是，为了让DeFi达到"大规模采用"，这些额外的预防措施必须被简化。

在那之前，我们只能多用良好的钱包并审慎行事。

---

想要成为科学家嘛？

想要用技术玩转GameFi嘛？

来学习中级四期课程呀，带你理解智能合约语言开发和应用，独立上手开发产品。

开课倒计时3天！有兴趣和需求的抓紧扫码来领取优惠券报名加入，错过这期要等半年啦~

课程详情：https://wnv.h5.xeknow.com/s/3EDAk8

郑重声明： 本文版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。