BadgerDAO Soygunun Yol Haritasını Çıkarıyor

BadgerDAO Soygunun Yol Haritasını Çıkarıyor

Kripto para endüstrisinin şimdiye kadar gördüğü en maliyetli soygunlardan birinde, bir oltalama saldırısı, bu haftanın başlarında BadgerDAO tokenlerine milyonlarca dolara mal oldu. Protokol, bu büyük fon kaybına neden olan yetkisiz işlemlerin ayrıntılı bir analizini yayınladı.

Protokol ekibi tarafından siber güvenlik firması Mandiant ile ortaklaşa yayınlanan bir “Teknik Otopsi” raporunda, 2 Aralık’ta meydana gelen kimlik avı olayının “Cloudflare Workers tarafından sağlanan kötü niyetli bir şekilde enjekte edilmiş bir snippet”in sonucu olduğu vurgulandı.

Cloudflare, kullanıcıların “Cloudflare proxy’leri üzerinden akarken web trafiği üzerinde çalışan ve bunları değiştiren” komut dosyaları çalıştırmasını sağlayan bir arayüzdür.

Raporda ayrıca, saldırganın, Badger mühendislerinden başarılı bir şekilde kaçınma yoluyla oluşturduğu, güvenliği ihlal edilmiş bir API anahtarı aracılığıyla böyle bir komut dosyası dağıttığı da eklendi. Bu API erişimi, saldırganın/saldırganların, kullanıcı tabanının yalnızca bir alt kümesinin etkilenmesi için düzenli aralıklarla protokole kötü amaçlı kod eklemesine izin verdi.

Saldırının ilk teşhisi, saldırganların Badger kasalarıyla ilgilenen kullanıcılardan gizlice ekstra izinler isteyerek, kullanıcıların belirteçlerini kendi adreslerine göndermek için onay aldıklarını açıklamıştı.

BadgerDAO’nun analizine göre saldırı Ağustos-Eylül gibi erken bir tarihte başlamıştı. Cloudflare kullanıcıları ilk olarak, yetkisiz kullanıcıların hesap oluşturabildiğini ve ayrıca e-posta doğrulama sürecini tamamlamadan (Global) API anahtarları oluşturup görüntüleyebildiğini fark etmiş ve e-posta doğrulaması sonrasında saldırgana API erişimi verileceğini belirtmişti.

Badger, ağustos ve eylül aylarında bu tür üç hesabın oluşturulduğunu ve izinsiz olarak API anahtarları verildiğini tespit etti. Bu API erişimi, 10 Kasım’da saldırgan tarafından Cloudflare Workers aracılığıyla protokolün web sayfasına kötü amaçlı komut dosyaları eklemek için kullanıldı. Aynı web3 işlemleri engellendi ve kullanıcılardan cüzdanlarındaki ERC-20 tokenleri üzerinde yabancı bir adres onayına izin vermeleri istendi.

Analiz ayrıca şunları içeriyor:

“Saldırgan, saldırılarında birkaç tespit önleme tekniği kullandı. Senaryoyu Kasım ayı boyunca, genellikle çok kısa sürelerle düzenli olarak uyguladılar ve kaldırdılar. Saldırgan ayrıca yalnızca belirli bir bakiyenin üzerindeki cüzdanları hedef aldı.”

Discord’da şüpheli derecede büyük bir işlemle ilgili uyarılar alındığında, protokol çoğu kasa etkinliğini 30 dakika içinde duraklattı, daha eski bir sözleşmeye sahip olanlar ise yaklaşık 15 saat sonra durduruldu.

Bununla birlikte, blog gönderisine göre, kaybın toplam değer 130 milyon doları aştı ve bunun yalnızca 9 milyon doları geri alınabilir. Protokol, istismarcı tarafından aktarılan ancak henüz Badger kasalarından çekilmemiş olan bazı fonları kurtarmak için çalışıyor. Aynı zamanda Chainalaysis, Mandiant ve kripto borsalarının yanı sıra ABD ve Kanada’daki yetkililerle de temas halinde.

Ek olarak Badger, protokolü yeniden başlatmadan önce tüm web2 ve web3 altyapısının üçüncü taraf denetimlerini tamamlayacak, ayrıca bir hack-a-thon planları ve eğitimler de yolda.

Kurtarma aşaması, akıllı sözleşmeleri yükseltmeyi amaçlayan BIP-76’yı da içerir. Bu, kullanıcı fonlarının kurtarılmasına, duraklatma işlevselliğinin iyileştirilmesine ve kara listeye alma yoluyla ek güvenlik önlemleri alınmasına olanak tanır.