Badger DAO用戶被盜超1.2億美元：“批准”權限被惡意使用導致的慘案

作者：谷昱

在過去的DeFi安全事故中，使用者錢包的"批准"權限被惡意利用的情況屢見不鮮，許多DeFi使用者被高APY吸引，向惡意項目網站批准了無上限的代幣使用權限，導致錢包資產在不知情的情況下被項方團隊盜走，損失慘重。

如今， 知名協議 Badger DAO 使用者也成為了受害者。12月2日上午，多名 Badger DAO 使用者在 Discord首先反映了資產被盜的情況，經過討論則發現問題在於Badger.com使用者介面，即使用者介面被駭客攻擊並植入惡意錢包請求，誘導 Badger DAO 使用者為惡意地址批准代幣使用權限，而不是項目智能合約存在問題。

"當使用者試圖進行合法的存款和獎勵領取交易時，這些批准就會出現，建立一個不限制的錢包批准基礎，允許攻擊者直接從使用者地址轉移與 BTC 相關的代幣。"知名安全部落格網站rekt表示。

根據安全公司PeckShield的統計，Badger DAO 使用者總損失約為 2100 BTC 和 151 ETH，約合1.2億美元，這也是今年被盜金額最高的DeFi安全事故之一。其中，有單個使用者損失超過900個BTC。

Badger 核心貢獻者 Tritium 在 Discord 上表示："看起來一堆使用者已經為惡意攻擊地址設置了批准，允許該地址使用他們的金庫資金並且被利用了。"

"一旦我們注意到該事件，就凍結了所有的金庫，所以沒有任何資金可以移動，並試圖弄清楚批准的來源，有多少人擁有它們，以及下一步是什麼，"他補充道。

據了解，BadgerDAO 的目標是將比特幣引入 DeFi。該項目由各種金庫組成，供使用者在以太坊上獲得包裝版 BTC 的收益。絕大多數被盜資產是金庫存款代幣，駭客已經將其兌現並通過 BTC 橋接回比特幣網絡，而所有 ERC20 代幣仍留在以太坊上。

據Coindesk報導，雖然大部分資金在週四上午被轉走，但惡意許可請求可能是在攻擊前幾週提出的。儘管協議合約已暫停，但社區成員建議存款人使用Debank和Unrekt等工具撤銷惡意合約的權限。

受該消息影響，Badger DAO代幣24小時內下跌超21%，目前價格為21.4美元。

此前，以太坊保險項目Nexus Mutual曾集成Badger DAO項目，支持使用者使用ETH或DAI在該平台購買關於Badger DAO的保單，但本次攻擊事件發生，該項目發推稱如果這被確定為前端攻擊，BadgerDAO 的智能合約沒有受到影響，這不會是一個保險事件。

那麼，普通使用者應該如何避免"批准"權限被惡意攻擊的情況？

推特使用者@CryptoCatVC指出，不要相信網站的使用者介面，建議使用者手動從metamask數據中取出智能合約地址，在Etherscan上查看合約，了解合約是全新的吗、誰部署的、部署者的資金從何而來、是代理嗎等問題。

同時，你需要知道你批准了多少數量的代幣，永遠不要批准超過你計劃使用的數量，以後你可以隨時批准更多。你要對代理的批准要格外嚴格，因為這往往代表著批准很多次的實施。
（歡迎添加微信號 gnu0101 進入鏈捕手交流群）