Un hacker o hackers desconocidos robaron $119 millones de dólares en criptomonedas de una plataforma de finanzas descentralizadas (DeFi) basada en blockchain el miércoles.

En un tweet el miércoles, BadgerDAO (organización autónoma descentralizada) escribió que recibió “informes de retiros no autorizados de fondos de usuarios“. Según la empresa de seguridad blockchain PeckShield, los piratas informáticos robaron alrededor de 2100 BTC ($ 18,500,000) y 151 ETH ($679,000) en tokens de criptomonedas.

En particular, el hack no involucró complicados exploits de contratos inteligentes. En cambio, fue un ataque de front-end dirigido a la infraestructura web de BadgerDAO, en particular a su cuenta de Cloudflare, la red de distribución de contenido de BadgerDAO. Al interactuar con BadgerDAO usando una billetera Metamask, los usuarios se enfrentaron a solicitudes de permisos ilícitos. Los usuarios notaron el ataque cuando vieron que sus billeteras estaban siendo vaciadas, y BadgerDAO luego “pausó” todos los contratos inteligentes.

Kryptobi, quien dijo que está en el equipo de soporte de BadgerDAO y ha estado investigando el hack, dijo que parece que alguien inyectó un script malicioso en la interfaz de BadgerDAO después de comprometer una clave API para la cuenta Cloudflare de BadgerDAO. Cloudflare es una empresa de infraestructura web, red de entrega de contenido y seguridad de sitios web, que es utilizada por millones de sitios en Internet.

Un miembro del equipo principal del equipo Badger, que se hace llamar Jonto, confirmó que este era el punto de entrada que explotó el pirata informático.

“El script malicioso básicamente engañó a las personas para que dieran los derechos de dirección para enviar los tokens a la dirección del explotador“, dijo en una entrevista.

Los administradores y desarrolladores de BadgerDAO han estado controlando los daños en el canal oficial de Discord.

“Todos están enojados y conmocionados y [sic] lo que sucedió“, escribió una persona que trabaja en BadgerDAO y se hace llamar blackbear, en el canal oficial de Discord de la organización, donde muchas personas se quejan de que les robaron su criptomoneda. “La situación es una mierda, pero tengo la esperanza de que aprendamos de ella y la superemos, he estado involucrado con Badger desde que se lanzó y el trabajo que el equipo ha hecho y hace nunca me ha decepcionado“.

“Tengo la mayor parte de mi patrimonio neto en Badger y este ataque también me afectó, también obtuve el mayor golpe de mi vida, y estoy bastante seguro de que otros miembros del equipo, que tienen más fe en el proyecto, también se han visto afectados“. ”Añadió Blackbear. “Entiendo a todos y cada uno de ustedes, este es un gran revés“.

Las plataformas de DeFi como BadgerDAO han proliferado recientemente, con miles de millones de dólares perdidos en estafas y hacks en el camino en la industria de rápido movimiento. La idea es crear sistemas financieros basados ​​en blockchain, y BadgerDAO en particular fue diseñado para ser un “puente” para que la gente tome, digamos, su Bitcoin y lo use de manera equivalente en proyectos DeFi basados ​​en Ethereum “envolviéndolo“.

A principios de este año, el servicio de préstamos de criptomonedas C.R.E.A.M. fue explotado a través de un complejo “préstamo relámpago” y perdió $130 millones, y un hacker robó alrededor de $600 millones de la popular plataforma Poly Network, y luego devolvió el dinero en uno de los hacks más extraños del año. Estos son solo ejemplos de este año, ha habido muchos más en años anteriores.

Sin embargo, en particular, el ataque BadgerDAO parece no haber tenido como objetivo los contratos inteligentes ni haber utilizado ningún truco inteligente de blockchain. En cambio, fue un ataque dirigido a la infraestructura web de Badger.

Resulta que la llamada web3 puede depender en gran medida de la buena seguridad de la web1.

Tweet

“La integridad de la cadena de suministro significa cada eslabón de la cadena“, dijo Dan Guido, fundador de Trail of Bits, una empresa de ciberseguridad que se especializa en auditorías de criptomonedas y contratos inteligentes. “Badger pensó claramente en partes de su proceso de desarrollo e implementación, utilizando herramientas simples y seguras como Github y una aplicación web de una sola página. Sin embargo, el éxito de la integridad de la cadena de suministro requiere perfección y una supervisión de seguridad precisa al instante. Si Cloudflare es en última instancia responsable de brindar contenido a los usuarios, entonces necesita los mismos procedimientos de seguridad cuidadosamente pensados. La seguridad de TI sigue siendo importante y, en muchos sentidos, es aún más importante para las empresas de blockchain“.

El hack de BadgerDAO incluso llamó la atención de los principales profesionales de la seguridad.

Matthew Green, profesor de criptografía e informática en la Universidad Johns Hopkins, escribió en Twitter que “es curioso lo poco que la gente de seguridad informática sabe sobre el ecosistema [de aplicaciones descentralizadas]. Es como si estuvieran viviendo en el hotel de The Shining y no tuvieran idea de lo que está pasando en la habitación 237 “.