BadgerDAO révèle la raison de l’exploit et détaille le plan de récupération – KogoCrypto

Dans un « Post Mortem technique » publié par l’équipe du protocole en partenariat avec la société de cybersécurité Mandiant, il a été souligné que l’incident de phishing survenu le 2 décembre était le résultat d’un « extrait de code malveillant fourni par Cloudflare Workers ».

Cloudflare est une interface qui permet aux utilisateurs d’exécuter des scripts qui « fonctionnent et modifient le trafic Web lorsqu’il passe par les proxys Cloudflare ».

Le rapport a en outre ajouté que l’attaquant avait déployé un tel script via une clé API compromise, qu’il avait créée grâce à une évasion réussie des ingénieurs de Badger. Cet accès API a permis au ou aux attaquants d’injecter par la suite du code malveillant dans le protocole de manière périodique afin que seul un sous-ensemble de la base d’utilisateurs soit affecté.

Le diagnostic initial de l’attaque expliquait que les attaquants avaient reçu l’autorisation d’envoyer les jetons des utilisateurs à leur propre adresse en demandant furtivement des autorisations supplémentaires aux utilisateurs s’engageant dans les coffres Badger.

Selon l’analyse de BadgerDAO, l’attaque a commencé dès août-septembre. Les utilisateurs de Cloudflare ont d’abord remarqué que les utilisateurs non autorisés pouvaient créer des comptes ainsi que créer et afficher des clés API (globales) sans terminer le processus de vérification des e-mails, notant que l’attaquant se verrait accorder un accès API lors de la vérification des e-mails.

En août et septembre, Badger a découvert trois de ces comptes qui avaient été créés et auxquels des clés API avaient été attribuées sans autorisation. Le 10 novembre, l’attaquant a utilisé cet accès API pour injecter des scripts malveillants dans la page Web du protocole via Cloudflare Workers. Les mêmes transactions web3 ont été interceptées et ont incité les utilisateurs à autoriser une adresse étrangère à fonctionner sur des jetons ERC-20 dans leur portefeuille.

L’analyse a en outre noté,

« L’attaquant a utilisé plusieurs techniques anti-détection dans son attaque. Ils ont appliqué et supprimé le script périodiquement au cours du mois de novembre, souvent pendant de très courtes périodes. L’attaquant n’a également ciblé les portefeuilles que sur un certain solde. « 

Une fois que des alertes concernant une transaction suspecte d’importance ont été émises sur Discord, le protocole a interrompu la plupart des activités du coffre-fort dans les 30 minutes, tandis que celles avec un contrat plus ancien ont été arrêtées environ 15 heures plus tard. Le point positif était le BIP-33 du protocole, qui lui donne la possibilité de suspendre les contrats approuvés sur le contrat de tuteur, empêchant ainsi toutes sortes de transactions d’avoir lieu.

Néanmoins, la valeur totale perdue a atteint plus de 130 millions de dollars, dont seulement 9 millions de dollars sont récupérables, selon le billet de blog. Le protocole vise à récupérer certains fonds qui ont été transférés par l’exploitant mais pas encore retirés des coffres de Badger. Il est également en contact avec Chainalaysis, Mandiant et les échanges cryptographiques ainsi qu’avec les autorités des États-Unis et du Canada pour le même.

De plus, Badger effectuera également des audits tiers de toutes les infrastructures web2 et web3 avant de relancer le protocole, avec des plans d’un hack-a-thon et des campagnes d’éducation également en cours.

La phase de récupération comprend également le BIP-76, qui vise à mettre à niveau les contrats intelligents. Cela permettra de récupérer les fonds des utilisateurs, d’améliorer la fonctionnalité de pause et d’introduire des garanties supplémentaires grâce à la mise sur liste noire.