Стали известны подробности взлома BadgerDAO

Разработчики обратили внимание на сообщение, появившееся на форуме Cloudflare в конце сентября. Один из участников заметил, что неавторизованные пользователи могут регистрировать учетные записи, а также создавать и просматривать API-токены, которые нельзя удалить или деактивировать, до завершения верификации по электронной почте. 

Выполнив эти действия злоумышленник может дождаться верификации и завершения регистрации учетной записи, получив таким образом доступ к API.

После инцидента команда BadgerDAO проанализировала логи Cloudflare и обнаружила следы несанкционированной регистрации учетных записей и генерации ключей для трех API.

В середине сентября разработчики «неосознанно завершили регистрацию учетной записи» для одного из скомпрометированных интерфейсов, который «использовался для законной деятельности по управлению Cloudflare».

«Пользовательский интерфейс не дает понять, что учетная запись уже была создана, поэтому был сгенерирован ключ для API. 10 ноября злоумышленник воспользовался доступом к API для внедрения вредоносных скриптов через Cloudflare Workers в html-файл сайта app.badger.com», — написали разработчики.

Хакер похитил активы на сумму более $130 млн, однако около $9 млн можно вернуть, поскольку их еще не вывели из хранилищ протокола. Таким образом, ущерб превысил $121 млн. 

Команда проекта сообщила, что уже закрыла эксплойт, сделавший атаку возможной, обновила пароль учетной записи Cloudflare, а также удалила или обновила API-ключи.

Поскольку личность хакера еще не установили, BadgerDAO привлек компании Mandiant и Chainalysis для расследования инцидента. Разработчики добавили, что сотрудничают с правоохранительными органами США и Канады.

В разговоре с Bloomberg представитель Cloudflare подчеркнул, что системы компании «не были взломаны», а в сервисе Workers нет уязвимостей. 

«На прошлой неделе мы узнали об инциденте с BadgerDAO. Мы связались с командой проекта и оказали активную помощь в расследовании», — заявил он.

BadgerDAO подвергся взлому 2 декабря. Эксперты компании PeckShield оценили ущерб более чем в $120 млн. Они также указали, что один из адресов потерял ~900 BTC (более $50 млн по текущему курсу). Представитель сообщества в Twitter предположил, что указанный аналитиками адрес связан с Celsius Network.