31 millions de dollars retirés de MonoX et les pertes de BadgerDAO dépassent 120 millions de dollars.
Plus de 150 millions de dollars ont été perdus cette semaine dans des brèches de sécurité distinctes dans les projets DeFi MonoX et BadgerDAO.
MonoX (MONO), bourse d’échange décentralisée (DEX) à chaînes multiples, a subi une cyberattaque le 30 novembre, entraînant des pertes d’environ 31 millions de dollars. BadgerDAO (BADGER) a subi une attaque frontale qui a été découverte le 2 décembre. Les pertes de Badger sont estimées à plus de 120 millions de dollars.
La plate-forme DEX de MonoX a subi une seule attaque le 30 novembre. Dans cette attaque, un bogue dans le contrat intelligent permettait l’existence d’une différence entre les prix des actifs, lorsqu’ils étaient modifiés manuellement.
Nouvelles de Rekt expliqué que les pirates ont pu gonfler le prix de MONO via le contrat intelligent, puis racheter d’autres actifs du protocole avec MONO.
« Le pirate a créé une boucle dans laquelle le prix du tokenOut écrasait le prix du tokenIn, gonflant le prix de MONO au cours de nombreux « swaps ». »
L’équipe de MonoX l’a confirmé dans un communiqué de presse du 30 novembre. tweet. Dans un post-mortem publiée le 2 décembre, les pertes totales ont été confirmées à environ 31 millions de dollars. L’équipe a ajouté :
« Les jours comme hier sont horribles, il n’y a pas de sucre sur la dure réalité d’un contrat exploité et des gens qui perdent de l’argent. Nos supporters ont mis leur foi dans un nouveau projet comme le nôtre, et hier nous les avons laissé tomber. »
MONO est entré en bourse sur Huobi seulement cinq jours avant le piratage de MonoX.
La faille de sécurité de Badger était une menace permanente pour les utilisateurs interagissant avec la plateforme de Badger DAO plutôt qu’un exploit unique et important.
Les utilisateurs de Discord ont commencé à signaler des demandes de dépenses inhabituelles sur la plateforme Badger et ont alerté les administrateurs sur les médias sociaux et à l’adresse suivante Discord dès le 27 novembre.
L’administrateur Blackbear a répondu que la demande était inhabituelle, mais probablement causée par un bogue bénin dans l’interface utilisateur (IU).
https://twitter.com/0xMoves/status/1466275399944445952
Le bogue dans l’interface utilisateur s’est avéré être la tentative d’un attaquant malveillant de voler des fonds à partir du retrait de cet utilisateur. La même tactique a été utilisée sur des utilisateurs aléatoires pendant des jours, voire des semaines, avant d’être découverte comme une faille de sécurité.
Voir aussi : Les pirates peuvent utiliser des comptes Google Cloud compromis pour installer un logiciel de minage en moins de 30 secondes : Rapport
Au moment de la rédaction de cet article, les pertes liées à l’attaque Badger s’élevaient à plus de 120 millions de dollars, dont 2078,76 BTC, 30,27 ibBTC et 151,32 ETH, selon la société d’analyse blockchain. PeckShield. L’équipe Badger a été enquête sur et ont mis en pause tous les contrats intelligents sur le protocole pour éviter toute perte supplémentaire.