QR 코드를 스캔하여 다운로드하세요.
첫 페이지
속보
프로젝트 랭킹
주제
전문 칼럼
ETF
지식 저장소
일정표
활동
도구 탐색기
DeInsight 2024

Badger DAO 사용자, 1.2억 달러 이상 도난: "승인" 권한이 악용되어 발생한 참사

ChainCatcher 선정
2021-12-03 02:15:49
수집
우리는 "승인" 권한이 악의적으로 사용되는 상황을 어떻게 피해야 할까요?

저자: 구유

과거 DeFi 보안 사고에서 사용자 지갑의 "승인" 권한이 악의적으로 이용된 사례가 빈번하게 발생했습니다. 많은 DeFi 사용자들이 높은 APY에 끌려 악의적인 프로젝트 웹사이트에 무제한의 토큰 사용 권한을 승인하여, 지갑 자산이 프로젝트 팀에 의해 도난당하는 피해를 입었습니다.

현재, 유명한 프로토콜 Badger DAO 사용자도 피해자가 되었습니다. 12월 2일 오전, 여러 명의 Badger DAO 사용자가 Discord에서 자산 도난 상황을 처음으로 보고하였고, 논의 후 Badger.com 사용자 인터페이스에 문제가 있음을 발견했습니다. 즉, 사용자 인터페이스가 해커의 공격을 받아 악의적인 지갑 요청이 삽입되어 Badger DAO 사용자들이 악의적인 주소에 토큰 사용 권한을 승인하도록 유도된 것입니다.

"사용자가 합법적인 예치 및 보상 수령 거래를 시도할 때 이러한 승인이 발생하여, 공격자가 사용자 주소에서 BTC 관련 토큰을 직접 전송할 수 있도록 무제한 지갑 승인 기반이 구축됩니다." 유명 보안 블로그 사이트 rekt가 전했습니다.

보안 회사 PeckShield의 통계에 따르면, Badger DAO 사용자의 총 손실은 약 2100 BTC와 151 ETH로, 약 1.2억 달러에 해당하며, 이는 올해 도난 금액이 가장 높은 DeFi 보안 사고 중 하나입니다. 그중 한 사용자는 900 BTC 이상을 잃었습니다.

Badger 핵심 기여자 Tritium은 Discord에서 "많은 사용자가 악의적인 공격 주소에 대해 승인을 설정하여 해당 주소가 그들의 금고 자금을 사용할 수 있도록 허용하고 이용당했습니다."라고 밝혔습니다.

"우리가 이 사건을 인지하자마자 모든 금고를 동결했기 때문에 자금이 이동할 수 없었고, 승인 출처, 몇 명이 이를 소유하고 있는지, 다음 단계가 무엇인지 파악하려고 했습니다."라고 그는 덧붙였습니다.

알려진 바에 따르면, BadgerDAO의 목표는 비트코인을 DeFi에 도입하는 것입니다. 이 프로젝트는 사용자가 이더리움에서 포장된 BTC의 수익을 얻을 수 있도록 다양한 금고로 구성되어 있습니다. 도난당한 자산의 대부분은 금고 예치 토큰이며, 해커는 이를 현금화하고 BTC 브리지를 통해 비트코인 네트워크로 되돌렸습니다. 모든 ERC20 토큰은 여전히 이더리움에 남아 있습니다.

Coindesk의 보도에 따르면, 대부분의 자금이 목요일 오전에 이동되었지만, 악의적인 허가 요청은 공격 몇 주 전에 제기되었을 가능성이 있습니다. 프로토콜 계약이 중단되었지만, 커뮤니티 구성원들은 예치자가 Debank 및 Unrekt와 같은 도구를 사용하여 악의적인 계약의 권한을 철회할 것을 권장했습니다.

이 소식의 영향으로 Badger DAO 토큰은 24시간 내에 21% 이상 하락하여 현재 가격은 21.4달러입니다.

이전에 이더리움 보험 프로젝트 Nexus Mutual은 Badger DAO 프로젝트를 통합하여 사용자가 ETH 또는 DAI를 사용하여 Badger DAO에 대한 보험을 구매할 수 있도록 지원했지만, 이번 공격 사건이 발생하자 해당 프로젝트는 트윗에서 "이것이 프론트엔드 공격으로 확인된다면, BadgerDAO의 스마트 계약은 영향을 받지 않았고, 이는 보험 사건이 아닙니다."라고 밝혔습니다.

그렇다면 일반 사용자는 "승인" 권한이 악의적으로 공격당하는 상황을 어떻게 피할 수 있을까요?

트위터 사용자 @CryptoCatVC는 웹사이트의 사용자 인터페이스를 믿지 말고, 사용자가 메타마스크 데이터에서 스마트 계약 주소를 수동으로 추출하여 Etherscan에서 계약을 확인할 것을 권장했습니다. 계약이 새 것인지, 누가 배포했는지, 배포자의 자금 출처는 무엇인지, 대리인인지 등의 문제를 이해해야 합니다.

image

또한, 승인한 토큰의 수량을 알고, 계획한 수량을 초과하여 승인하지 말고, 나중에 언제든지 더 많은 승인을 할 수 있습니다. 대리인의 승인은 특히 엄격하게 관리해야 하며, 이는 종종 여러 번의 승인을 의미하기 때문입니다.
(체인 포착기交流群에 들어가려면 WeChat 번호 gnu0101을 추가하세요)

핫이슈 사건 추적 및 해석

핫이슈 사건 추적 및 해석

본 주제는 블록체인 산업의 핫이슈를 추적하고 해석하는 데 중점을 둡니다.
전문 주제
관련 태그
오소리
체인캐처(ChainCatcher)는 독자들에게 블록체인을 이성적으로 바라보고, 리스크 인식을 실제로 향상시키며, 다양한 가상 토큰 발행 및 조작에 경계해야 함을 상기시킵니다. 사이트 내 모든 콘텐츠는 시장 정보나 관련 당사자의 의견일 뿐이며 어떠한 형태의 투자 조언도 제공하지 않습니다. 만약 사이트 내에서 민감한 정보를 발견하면 “신고하기”를 클릭하여 신속하게 처리할 것입니다.
ChainCatcher 선정
ChainCatcher 선정 ChainCatcher의 원본 기사와精选快讯을 수록합니다.
일일 보고서 | 오늘은 비트코인 창세 블록 탄생 16주년이다; 바이낸스 알파에 ELIZA, METAV, FLOCK 추가; 채굴 기업 Bitfufu가 비트메인의 8만 대의 채굴기를 구매했다
일일 보고서 | 오늘은 비트코인 창세 블록 탄생 16주년이다; 바이낸스 알파에 ELIZA, METAV, FLOCK 추가; 채굴 기업 Bitfufu가 비트메인의 8만 대의 채굴기를 구매했다
대화 UXLINK CMO: 2024년, 우리의 돌파구, 혁신과 도전
대화 UXLINK CMO: 2024년, 우리의 돌파구, 혁신과 도전
관련 태그
오소리
관련 독서
BTC의 최대 고래가 되는 방법? Citadel DAO 토큰 경제학 상세 설명
BTC의 최대 고래가 되는 방법? Citadel DAO 토큰 경제학 상세 설명
Badger DAO 如何赋能 BTC?
Badger DAO 如何赋能 BTC?
잠금 물량이 10억 달러를 초과, BadgerDAO의 상승 논리를 이해하다
잠금 물량이 10억 달러를 초과, BadgerDAO의 상승 논리를 이해하다
AI 대리 개념 코인 폭등, 진짜 트렌드인가 아니면 거품인가?
AI 대리 개념 코인 폭등, 진짜 트렌드인가 아니면 거품인가?
저작권 © 2023
우리에 대해서
미디어 자원
전문 칼럼 신청
면책 성명
RSS 링크
채용
경ICP2021009392호
경ICP2021009392호
체인캐처 혁신가들과 함께하는 Web3 세상 구축
앱을 열기