Inihayag ng BadgerDAO ang Mga Detalye ng Paano Ito Na-hack sa halagang $120M

Sa isang blog post ngayong linggo, ang desentralisadong platform ng Finance na BadgerDAO ay nagbigay ng mga detalye kung paano ito nangyari pinagsamantalahan para sa $120 milyon mas maaga sa buwang ito.

• Sinabi ng BadgerDAO na ang isang insidente ng phishing na naganap noong Disyembre 2 ay sanhi ng "isang malisyosong injected na snippet" mula sa Cloudflare, isang application platform na tumatakbo sa cloud network ng Badger.
• Gumamit ang hacker ng nakompromisong API key na ginawa nang walang kaalaman o awtorisasyon ng mga inhinyero ng BADGER upang pana-panahong mag-inject ng malisyosong code na nakaapekto sa isang subset ng mga customer nito.
• Ang hacker sa huli ay nagnakaw ng $130 milyon sa mga pondo, ngunit humigit-kumulang $9 milyon nito ay mababawi dahil ang mga pondong iyon ay inilipat ng hacker ngunit hindi pa na-withdraw mula sa mga vault ni Badger.
• Mula noon ay na-patch na BADGER ang Cloudflare exploit, na-update ang password ng account ng Cloudfare at nagtanggal o nag-refresh ng mga API key kung posible.
• Kinuha BADGER ang cybersecurity firm na Mandiant at ang blockchain analysis firm Chainalysis upang imbestigahan ang pagsasamantala, at nakikipagtulungan sa parehong mga kumpanya, pati na rin ang mga awtoridad sa US at Canada, upang mabawi ang anumang posibleng pondo.