欧科云链链上卫士：BadgerDAO被攻击损失逾1.1亿美元

一、背景

2021年12月2日10时（HKT），据官方Discord消息，去中心化组织BadgerDAO遭遇黑客攻击，用户资产在未经授权的情况下被转移。官方在注意到这一情况后，已经暂停了所有智能合约以防止进一步的提款，并试图弄清楚授权的来源，以及受影响的范围。

欧科云链链上卫士团队第一时间进行了跟进，经初步分析，攻击方式为黑客前端劫持盗取用户授权后，转移用户各类LP资产。目前，黑客已经转移了2,080枚BTC，损失超1.1亿美元，以下为具体分析过程。

二、攻击细节分析

经链上卫士团队分析，整个攻击过程是授权地址（0x1fcd）将LP转到9个地址，每个地址将LP抛售成wBTC，通过renBTC跨链到BTC网络。

盗取授权地址：0x1fcdb04d0c5364fbd92c73ca8af9baa72c269107

据悉，BadgerDAO成立于2020年，是一个去中心化自治组织，旨在创建一个“一站式”应用程序，加速推动比特币作为其他区块链（当前主要为ETH DeFi生态）抵押品的产品和基础架构，让比特币持有者在其他区块链上赚取高额的年利率，而无需依赖于中心化的平台。

截至发稿，Badger在以太坊上的锁仓量近10.92亿美元，BADGER 24小时最大跌幅近11%，现暂报20.28美元。

目前，链上卫士团队已对相关地址进行了监控，将持续跟进事件进展。

三、总结

本次黑客挟持用户授权的地址是一个私人地址，尽管合约已经暂停，但链上卫士团队提醒用户注意自己的代币合约权限管理，检查是否有将相关代币授权给该私人地址，若有，请及时撤销对恶意合约的授权，以避免进一步的损失，链上卫士也将上线相关工具帮助用户更好地管理对合约的授权。另外，链上卫士团队也建议钱包方在用户与项目进行交互时，对于出现授权给非合约地址的情况时因立刻给出警告，提醒用户相关风险。