DeFi又现盗窃案：黑客窃取了1.2亿美元的加密货币

据The Verge报道，周三晚上黑客入侵了去中心化金融平台BadgerDAO，并从多个加密货币钱包中抽走了资金。根据正在与Badger合作调查抢劫案的区块链安全和数据分析Peckshield的数据，在攻击中被盗的各种代币价值约1.2亿美元。

虽然调查仍在进行中，但Badger团队的成员告诉用户，他们认为问题来自有人在其网站的UI中插入恶意脚本。对于在脚本处于活动状态时与站点交互的任何用户，它将拦截 Web3 事务并插入请求以将受害者的令牌传输到攻击者的所选地址。

由于交易的透明性，我们可以看到黑客入侵后发生了什么。PeckShield指出，一笔转账将896比特币转入黑客的金库，价值超过5000万美元。根据该团队的说法，恶意代码早在11月10日就出现了，虽然一旦Badger意识到未经授权的转账，它就会暂停所有智能合约，基本上冻结了其平台，并建议用户拒绝所有交易到攻击者的地址，但攻击者以看似随机的时间间隔运行它，所以避免了被发现。

周四晚上，该公司表示正在与外部调查充分合作，已聘请数据取证专家Chainalysis研究本次事件，目前Badger正在调查攻击者是如何通过一个应该受到双因素身份验证保护的应用编程接口密钥访问Cloudflare的。

虽然此次攻击没有暴露区块链技术本身的具体缺陷，但它成功利用了大多数用户需要用来执行交易的旧“web2.0”技术，即多因素身份验证系统保护我们的帐户免受许多网络钓鱼方案或批量凭据填充攻击。

尽管如此，专家们一再警告说，有针对性的网络钓鱼攻击可以绕过它，而自动化这一过程的工具包已经问世多年。联邦调查局2019年的一份通知称，犯罪分子绕过MFA的能力越来越强，并建议进行可能使此类攻击更难得逞的改变或培训。

即使在典型的金融应用程序中，正确获得双因素身份验证也可能很棘手——只要问一下PayPal就知道了。但是像这样的事件，或者保利网络在8月份遭遇的被盗并返还6亿美元的劫持，或者2016年袭击第一个DAO的5300万美元的抢劫，有望足以将安全意识扩展到协议和加密之外。

Badger's Discord的一位评论者总结了这种情况，他说：“世界上所有的区块链/智能合约审计，人们因一个草率的团队的Cloudflare API泄漏而损失了1.2亿，一个家伙在网站标题中向他的合同传递了新的批准，我们还有很长的路要走。”该团队的一名成员说：“我相信在此之后我们会提出一些缓解程序。”

哪些资金可以收回，以及受影响的资金将如何完整，目前还不得而知。即便由Badger自己所说的“DeFi中最有安全意识的团队之一”管理，但对于生活在加密，区块链和Web3应用程序世界中的任何人来说，最终可能要了解批准，签名和交易如何真正发挥作用并密切关注它们。