Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 065Frontend-Übernahme

BadgerDAO Frontend-Hijack

Kompromittierter Cloudflare-API-Key ließ Angreifer zwei Wochen lang bösartige Approvals in BadgerDAOs Frontend einschleusen – 120 Mio. USD entzogen.

Datum
Opfer
BadgerDAO
Chain(s)
Ethereum
Status
Mittel entwendet

Am 2. Dezember 2021 entdeckte das Bitcoin-fokussierte DeFi-Protokoll BadgerDAO, dass Nutzer-Wallets fast zwei Wochen lang still entleert worden waren. Gesamtverluste: rund 120 Millionen US-Dollar — nicht aus den Smart Contracts des Protokolls extrahiert, sondern von Nutzern, die bösartige Transaktionen auf der eigenen Website des Protokolls genehmigten.

Was geschah

Ein kompromittierter Cloudflare-API-Key mit breiten Berechtigungen über BadgerDAOs Web-Infrastruktur gab dem Angreifer die Fähigkeit, beliebiges JavaScript ins Frontend einzuschleusen, beschränkt auf spezifische Cloudflare-Routen. Ab Mitte November 2021 führten sie eine Injektion aus, die in ausgewählten Sessions legitime Transaktions-Calldata durch Aufrufe von approve() auf Nutzersalden ersetzte — und der Angreifer-Adresse unbegrenzte Authority zum Ausgeben der Vault-Tokens des Nutzers gewährte.

Nutzer, die die Seite besuchten, „deposit" oder „manage" klickten und etwas signierten, das wie eine normale Interaktion aussah, übergaben tatsächlich Abhebungsrechte für ihre gesamte BadgerDAO-Position. Der Angreifer rief dann den genehmigten Transfer von einer separaten Adresse auf und entzog die Mittel.

Das bösartige Skript lief selektiv — nur auf einem Teil hochwertiger Sessions — weshalb die Entdeckung fast zwei Wochen dauerte. Microsoft Security prägte später den Begriff „Ice Phishing" für diese Angriffsklasse.

Folgen

  • BadgerDAO pausierte alle Verträge, sobald die Injektion bestätigt war.
  • Das Team kündigte einen Behebungsplan und eine token-basierte Entschädigung betroffener Nutzer an.
  • Der ursprüngliche Cloudflare-API-Key-Kompromittierungsvektor wurde nie öffentlich über „Credential-Exposition" hinaus identifiziert.
  • Die überwältigende Mehrheit der Mittel wurde über Tornado Cash gewaschen, bevor etwas eingefroren werden konnte.

Warum es wichtig ist

BadgerDAO zeigte erstmals in großem Maßstab, dass die Smart Contracts eines DeFi-Protokolls nicht seine einzige Angriffsfläche sind. Die Website, die die Vertragsaufrufe ausliefert, ist eine Vertrauensgrenze, und jede Kompromittierung der sie ausliefernden Infrastruktur — CDN, Hosting-Provider, DNS, Build-Pipeline — ist aus Nutzersicht eine vollständige Kompromittierung des Protokolls.

Die Lektion wurde drei Jahre später bei Bybit zu viel höheren Kosten neu erlernt, wo dasselbe Muster — Supply-Chain-Kompromittierung eines kritischen Web-Infrastruktur-Anbieters — 1,46 Mrd. USD entzog.

Quellen & On-Chain-Belege

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-badgerdao-hack-december-2021
  2. [02]coindesk.comhttps://www.coindesk.com/business/2021/12/10/badgerdao-reveals-details-of-how-it-was-hacked-for-120m
  3. [03]microsoft.comhttps://www.microsoft.com/en-us/security/blog/2022/02/16/ice-phishing-on-the-blockchain/

Verwandte Einträge