Команда DeFi-проекта BadgerDAO раскрыла детали взлома на $121 млн
Команда DeFi-протокола BadgerDAO раскрыла подробности недавнего взлома и сообщила, что в ходе атаки хакеры использовали сервис Cloudflare Workers, позволяющий разворачивать скрипты в облачной сети компании.
Разработчики обратили внимание на сообщение, появившееся на форуме Cloudflare в конце сентября. Один из участников заметил, что неавторизованные пользователи могут регистрировать учетные записи, а также создавать и просматривать API-токены, которые нельзя удалить или деактивировать, до завершения верификации по электронной почте.
Выполнив эти действия злоумышленник может дождаться верификации и завершения регистрации учетной записи, получив таким образом доступ к API.
После инцидента команда BadgerDAO проанализировала логи Cloudflare и обнаружила следы несанкционированной регистрации учетных записей и генерации ключей для трех API.
В середине сентября разработчики "неосознанно завершили регистрацию учетной записи" для одного из скомпрометированных интерфейсов, который "использовался для законной деятельности по управлению Cloudflare".
"Пользовательский интерфейс не дает понять, что учетная запись уже была создана, поэтому был сгенерирован ключ для API. 10 ноября злоумышленник воспользовался доступом к API для внедрения вредоносных скриптов через Cloudflare Workers в html-файл сайта app.badger.com", - написали разработчики.
Хакер похитил активы на сумму более $130 млн, однако около $9 млн можно вернуть, поскольку их еще не вывели из хранилищ протокола. Таким образом, ущерб превысил $121 млн.
Команда проекта сообщила, что уже закрыла эксплойт, сделавший атаку возможной, обновила пароль учетной записи Cloudflare, а также удалила или обновила API-ключи.
Поскольку личность хакера еще не установили, BadgerDAO привлек компании Mandiant и Chainalysis для расследования инцидента. Разработчики добавили, что сотрудничают с правоохранительными органами США и Канады.
В разговоре с Bloomberg представитель Cloudflare подчеркнул, что системы компании "не были взломаны", а в сервисе Workers нет уязвимостей.
"На прошлой неделе мы узнали об инциденте с BadgerDAO. Мы связались с командой проекта и оказали активную помощь в расследовании", - заявил он.