注:原文来自Rekt,以下为全文编译
路杀,“獾”已死。
1.2亿美元资金以各种形式的wBTC和ERC20代币被夺走。
前端攻击使BadgerDAO损失惨重,被盗金额排DeFi攻击第四?。
rekt.news再次强调:
无限的批准意味着无限的信任--我们知道在DeFi中我们不应该这样做。
但是,如果前端被破坏,是否应该期望普通用户能够通过钱包的批准来发现非法的合约呢?
一个未知方插入了额外的批准,致使用户将代币发送到了攻击者的地址。从2021年12月2日00:08:23开始,攻击者使用这些错误的信任批准美美饱餐了一顿。
新加坡金管局和BIS等探索使用DeFi批发型CBDC跨境交易和结算:金色财经报道,瑞士国家银行、法兰西银行、新加坡金融管理局和国际清算银行创新中心探索使用DeFi(去中心化金融)协议的批发型央行数字货币的跨境交易和结算。[2022/11/2 12:09:36]
当用户的地址被榨干的消息传到Badger时,团队宣布暂停项目的智能合约,恶意交易在开始2小时20分钟左右开始失效。
BadgerDAO的目标是将比特币带到DeFi。该项目由各种金库组成,供用户在以太坊上获得wBTC的收益。
据悉,绝大多数的被盗资产是金库存款代币,然后被兑现,底层的BTC则被桥接回比特币网络,任何ERC20代币则留在以太坊上。
数据:DeFi协议总锁仓量达2272.9亿美元:金色财经报道,据Defi Llama数据显示,DeFi协议总锁仓量(TVL)达到2272.9亿美元,24小时涨幅为0.71%。TVL排名前五分别为Curve(229.3亿美元)、Convex Finance(181.8亿美元)、MakerDAO(159.7亿美元)、AAVE(126.2亿美元)、WBTC(111.7亿美元)。[2022/1/11 8:39:59]
这里总结了被盗资金的当前位置?,以供查看。
此外,关于该项目Cloudflare账户被泄露的传言也一直在流传,其他安全漏洞?也是如此。
DeFiBox数据播报:DeFi 总锁仓量246.63亿美元:据DeFi门户DeFiBox.com实时数据显示,今日DeFi市场锁仓量依然维持增长,其中Maker资产的锁仓量达到42亿美元。DeFi挖矿平均年化收益率达到43.49%。DeFi板块代币行情表现亦抢眼,其中UNI、MKR、LINK等主流代币,7日涨幅在40%-100%不等。详情点击原文链接。[2021/1/7 16:40:27]
当用户试图进行合法的存款并申请奖励时,这些虚假的批准会被弹出来,以建立一个无限钱包批准的基础,允许攻击者直接从用户的地址转移BTC相关代币。
根据Peckshield的说法,黑客地址的第一个批准实例是近两周前。此后任何与平台互动的人,都可能在无意中批准了攻击者盗取资金。
BB:对能满足B1合规要求的EOS DeFi非常感兴趣:10月21日,Block.one首先执行官Brendan Blumer(BB)在推特与网友进行互动时表示,简单安全的比特币网关将是Dapp平台增长的最大推动力之一。与此同时,他称对能够满足B1合规要求的EOS DeFi非常感兴趣,并且正在积极寻找相关项目。他表示,将围绕正在寻找的项目类型,以及需要遵守的相关规定进行更多的交流。[2020/10/21]
据悉,共有超过500个地址批准了黑客的地址:
0x1fcdb04d0c5364fbd92c73ca8af9baa72c269107
请立即检查你的批准情况并在此撤销:?
etherscan.io/tokenapprovalchecker
交易实例:耗尽~900byvWBTC,价值超过5000万美元。受害者在大约6小时前通过increaseAllowance()函数批准了攻击者的地址,致使攻击者可以无限制地花费资金。
最终,由于Badger的transferFrom()函数的一个?"不寻常?"的功能,团队暂停了所有活动,防止了资金的进一步流失。
如果像Badger这样声誉卓著的长期项目会被这样打击,而且DeFi中的一些大佬项目也险些遭重?,那么DeFi用户就不能对他们最大bags的安全性过于放心。多样化是生存的关键。
尽管人们通常强调要检查URL,并确保你与适当的渠道进行互动,但在这种情况下,并不会帮到用户。
要知道,前端至少在12天前就被操纵了。
那么Badger怎么没有注意到呢?
11月28日,一名用户在Discord中标记了可疑的increaseAllowance()批准。
为什么Badger的开发人员没有查到呢?
对于有经验的用户来说,这类虚假的批准可能很容易发现,而且在签署交易之前,通过复制/粘贴地址到Etherscan,检查任何合约的有效性都很容易。
但是,为了让DeFi达到"大规模采用",这些额外的预防措施必须被简化。
在那之前,我们只能多用良好的钱包并审慎行事。
---
想要成为科学家嘛?
想要用技术玩转GameFi嘛?
来学习中级四期课程呀,带你理解智能合约语言开发和应用,独立上手开发产品。
开课倒计时3天!有兴趣和需求的抓紧扫码来领取优惠券报名加入,错过这期要等半年啦~
课程详情:https://wnv.h5.xeknow.com/s/3EDAk8
作者:茉莉 众筹竞拍美国宪法副本ConstitutionDAO出名后,该组织的治理通证PEOPLE因价格暴涨出圈,DAO这种去中心化组织形态的吸金能力被放大.
链游thecryptoyou是新上线的,在BSC链上的一个Metaverse游戏。玩家拥有一个babyNFT,质押在游戏中挖矿,或者进行PVE对战、冒险等玩法,在游戏中获取milk和baby奖励.
ETHGlobal于上周举办了虚拟黑客松Web3Jam活动,从11月12日至11月24日共为期两周,聚焦于去中心化媒体、Web3以及非同质化代币.
原文标题:《Footprint:拆解Avalanche链攀升的奥秘》撰文:Footprint分析师Simon(simon@footprint.
近日,世界知名啤酒品牌百威用了30个ETH购买了一个名为beer.ethENS域名。另外,拥有22.5万+名粉丝的百威官方还将推特头像换成了在Opensea上用8ETH的价格购入的NFT作品,并.
原文标题:《ScalingEthereum&cryptoforabillionusers》作者:JustinMart&ConnorDempsey截至2021年底.