Un pilier de la finance décentralisée (DeFi) est le dernier à être victime d’un piratage, car 10 millions de dollars dans diverses crypto-monnaies ont été volés au protocole de coffre-fort de rendement BadgerDAO.

Les utilisateurs ont d’abord signalé des problèmes possibles dans le Discord du protocole à 21 h HNE mercredi soir.

La spéculation actuelle dans les canaux communautaires est que le piratage est le résultat d’un exploit dans l’interface utilisateur de badger.com, et non dans les contrats de protocole de base. De nombreux utilisateurs concernés signalent qu’en réclamant des récompenses pour l’agriculture de rendement et en interagissant avec les coffres Badger, ils ont remarqué que leurs fournisseurs de portefeuille incitaient à de fausses demandes d’autorisations supplémentaires.

« Il semble qu’un groupe d’utilisateurs aient obtenu des approbations pour l’adresse d’exploit permettant [the address] pour opérer sur leurs fonds de coffre-fort et cela a été exploité », a écrit Tritium on Discord, contributeur principal de Badger.

« Une fois que nous avons remarqué, nous avons gelé tous les coffres afin que rien ne puisse bouger et nous essayons de comprendre d’où venaient les approbations, combien de personnes les ont et quelles sont les prochaines étapes », a-t-il ajouté.

L’équipe a également confirmé l’exploit sur Twitter :

Badger a reçu des rapports de retraits non autorisés de fonds d’utilisateurs. Alors que les ingénieurs de Badger enquêtent à ce sujet, tous les contrats intelligents ont été suspendus pour empêcher d’autres retraits. Notre enquête est en cours et nous publierons de plus amples informations dès que possible. – ₿adgerDAO 🦡 (@BadgerDAO) 2 décembre 2021

Un représentant de Badger n’a pas répondu à une demande de commentaire au moment de la publication.

Les observateurs affirment que le pirate a pris 185 WBTC, 136 000 cvxCRV, 64 000 veCVX et diverses formes de Bitcoin voûté et synthétique des portefeuilles concernés d’une valeur de plus de 10 millions de dollars. Alors que la majeure partie des fonds a été drainée mercredi soir, les demandes d’autorisation malveillantes peuvent avoir été faites des semaines avant l’attaque.

Bien que les contrats soient suspendus, les membres de la communauté conseillent aux déposants d’utiliser des outils tels que Debank et Unrekt pour révoquer les autorisations du contrat malveillant.

Au moment d’écrire ces lignes, le BADGER de BadgerDAO est en baisse de 6,9% sur la journée à 24,80 $ par jeton.

Ceci est une histoire en développement et sera mise à jour.