Plus de 150 millions de dollars ont été perdus cette semaine dans des failles de sécurité distinctes dans les projets DeFi MonoX et BadgerDAO.
L’échange décentralisé multi-chaînes (DEX) MonoX (MONO) a subi une cyberattaque le 30 novembre, entraînant des pertes d’environ 31 millions de dollars. BadgerDAO (BADGER) a subi une attaque frontale qui a été découverte le 2 décembre avec des estimations des pertes de Badger atteignant plus de 120 millions de dollars.
La plate-forme MonoX DEX a subi une seule attaque le 30 novembre. Dans cette attaque, un bogue dans le contrat intelligent a permis l’existence d’un écart entre les prix des actifs, lorsqu’ils étaient modifiés manuellement.
Actualités Rekt expliqué que les pirates ont pu gonfler le prix de MONO via le contrat intelligent, puis acheter d’autres actifs du protocole avec MONO.
« Le pirate a créé une boucle dans laquelle le prix de tokenOut écraserait le prix de tokenIn, augmentant le prix de MONO au cours de nombreux » swaps « . »
L’équipe MonoX l’a confirmé dans un 30 novembre tweeter. Dans un autopsie publié le 2 décembre, les pertes totales ont été confirmées à environ 31 millions de dollars. L’équipe a ajouté :
« Les journées comme hier sont horribles, il n’y a pas d’enrobage face à la dure réalité d’un contrat exploité et des gens qui perdent de l’argent. Nos supporters ont fait confiance à un nouveau projet comme nous, et hier nous les avons laissés tomber. »
MONO répertorié sur Huobi seulement cinq jours avant le piratage sur MonoX.
La faille de sécurité de Badger était une menace permanente pour les utilisateurs interagissant avec la plate-forme de Badger DAO plutôt qu’un seul gros exploit.
Les utilisateurs de Discord ont commencé à signaler des demandes de dépenses inhabituelles de la plate-forme Badger et ont alerté les administrateurs sur les réseaux sociaux et sur Discorde dès le 27 novembre.
L’administrateur Blackbear a répondu que la demande était inhabituelle, mais probablement causée par un bogue bénin dans l’interface utilisateur (UI) frontale.
https://twitter.com/0xMoves/status/1466275399944445952
Le bogue dans l’interface utilisateur s’est avéré être l’attaquant malveillant tentant de voler les fonds du retrait de cet utilisateur. La même tactique serait utilisée sur des utilisateurs aléatoires pendant des jours, voire des semaines, avant qu’elle ne soit découverte comme une faille de sécurité.
En rapport: Les pirates peuvent utiliser des comptes Google Cloud compromis pour installer un logiciel de minage en moins de 30 secondes : rapport
Au moment de la rédaction, les pertes dues à l’attaque Badger s’élevaient à plus de 120 millions de dollars, dont 2078,76 BTC, 30,27 ibBTC et 151,32 ETH, selon la société d’analyse blockchain. PeckShield. L’équipe de Badger a été enquêter le problème et ont suspendu tous les contrats intelligents sur le protocole pour éviter toute nouvelle perte.