Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 065Détournement de frontend

Détournement du frontend BadgerDAO

Une clé API Cloudflare compromise a permis d'injecter des approbations malveillantes dans le frontend BadgerDAO deux semaines, drainant 120 M$.

Date
Victime
BadgerDAO
Chaîne(s)
Ethereum
Statut
Fonds dérobés

Le 2 décembre 2021, le protocole DeFi axé sur Bitcoin BadgerDAO a découvert que les wallets utilisateurs étaient silencieusement drainés depuis près de deux semaines. Pertes totales : environ 120 millions de dollars — extraits non pas des smart contracts du protocole, mais des utilisateurs approuvant des transactions malveillantes sur le propre site web du protocole.

Ce qui s'est passé

Une clé API Cloudflare compromise avec de larges permissions sur l'infrastructure web de BadgerDAO a donné à l'attaquant la capacité d'injecter du JavaScript arbitraire dans le frontend, ciblé sur des routes Cloudflare spécifiques. À partir de mi-novembre 2021, ils ont exécuté une injection qui, sur des sessions sélectionnées, remplaçait les calldata de transactions légitimes par des appels à approve() sur les soldes utilisateurs — accordant à l'adresse de l'attaquant une autorité illimitée pour dépenser les tokens de vault de l'utilisateur.

Les utilisateurs qui visitaient le site, cliquaient « dépôt » ou « gérer », et signaient ce qui semblait être une interaction normale remettaient en fait les droits de retrait sur leur position BadgerDAO entière. L'attaquant appelait ensuite le transfert approuvé depuis une adresse séparée et drainait les fonds.

Le script malveillant s'exécutait sélectivement — uniquement sur un sous-ensemble de sessions de grande valeur — ce qui explique pourquoi il a fallu près de deux semaines pour le détecter. Microsoft Security a plus tard inventé le terme « ice phishing » pour cette classe d'attaque.

Conséquences

  • BadgerDAO a mis en pause tous les contrats dès que l'injection a été confirmée.
  • L'équipe a annoncé un plan de remédiation et un remboursement basé sur des tokens aux utilisateurs affectés.
  • Le vecteur original de compromission de la clé API Cloudflare n'a jamais été publiquement identifié au-delà d'« exposition d'identifiants ».
  • La grande majorité des fonds a été blanchie via Tornado Cash avant que quoi que ce soit ne puisse être gelé.

Pourquoi c'est important

BadgerDAO a montré pour la première fois à grande échelle que les smart contracts d'un protocole DeFi ne sont pas sa seule surface d'attaque. Le site web servant les appels de contrat est une frontière de confiance, et toute compromission de l'infrastructure qui le sert — CDN, hébergeur, DNS, pipeline de build — est une compromission complète du protocole du point de vue de l'utilisateur.

La leçon a été ré-apprise à un coût bien plus élevé trois ans plus tard chez Bybit, où le même schéma — compromission de la chaîne d'approvisionnement d'un fournisseur d'infrastructure web critique — a drainé 1,46 Md$.

Sources & preuves on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-badgerdao-hack-december-2021
  2. [02]coindesk.comhttps://www.coindesk.com/business/2021/12/10/badgerdao-reveals-details-of-how-it-was-hacked-for-120m
  3. [03]microsoft.comhttps://www.microsoft.com/en-us/security/blog/2022/02/16/ice-phishing-on-the-blockchain/

Dépôts liés