Команда DeFi-протокола BadgerDAO раскрыла подробности недавнего взлома и сообщила, что в ходе атаки хакеры использовали сервис Cloudflare Workers, позволяющий разворачивать скрипты в облачной сети компании.
2/We believe that all remediation decisions should be made as a community with strong consideration for the long term health of the DAO and victims of this incident.You can review a detailed technical post mortem of the incident below. 👉https://t.co/jjwDSeRwWC— ₿adgerDAO 🦡 (@BadgerDAO) December 10, 2021
Разработчики обратили внимание на сообщение, появившееся на форуме Cloudflare в конце сентября. Один из участников заметил, что неавторизованные пользователи могут регистрировать учетные записи, а также создавать и просматривать API-токены, которые нельзя удалить или деактивировать, до завершения верификации по электронной почте.
Выполнив эти действия злоумышленник может дождаться верификации и завершения регистрации учетной записи, получив таким образом доступ к API.
После инцидента команда BadgerDAO проанализировала логи Cloudflare и обнаружила следы несанкционированной регистрации учетных записей и генерации ключей для трех API.
В середине сентября разработчики «неосознанно завершили регистрацию учетной записи» для одного из скомпрометированных интерфейсов, который «использовался для законной деятельности по управлению Cloudflare».
«Пользовательский интерфейс не дает понять, что учетная запись уже была создана, поэтому был сгенерирован ключ для API. 10 ноября злоумышленник воспользовался доступом к API для внедрения вредоносных скриптов через Cloudflare Workers в html-файл сайта app.badger.com», — написали разработчики.
Хакер похитил активы на сумму более $130 млн, однако около $9 млн можно вернуть, поскольку их еще не вывели из хранилищ протокола. Таким образом, ущерб превысил $121 млн.
Похищенные хакером активы. Данные: BadgerDAO.
Команда проекта сообщила, что уже закрыла эксплойт, сделавший атаку возможной, обновила пароль учетной записи Cloudflare, а также удалила или обновила API-ключи.
Поскольку личность хакера еще не установили, BadgerDAO привлек компании Mandiant и Chainalysis для расследования инцидента. Разработчики добавили, что сотрудничают с правоохранительными органами США и Канады.
В разговоре с Bloomberg представитель Cloudflare подчеркнул, что системы компании «не были взломаны», а в сервисе Workers нет уязвимостей.
«На прошлой неделе мы узнали об инциденте с BadgerDAO. Мы связались с командой проекта и оказали активную помощь в расследовании», — заявил он.
BadgerDAO подвергся взлому 2 декабря. Эксперты компании PeckShield оценили ущерб более чем в $120 млн. Они также указали, что один из адресов потерял ~900 BTC (более $50 млн по текущему курсу). Представитель сообщества в Twitter предположил, что указанный аналитиками адрес связан с Celsius Network.
Напомним, в сентябре неизвестные получили несанкционированный доступ к Bitcoin.org и разместили на его главной странице мошенническое объявление о раздаче криптовалюты. Оператор сайта Cobra предположил, что проблема могла быть связана с сервисами Cloudflare.
