DeFi-protokollen Beanstalk Farms mistede over 180 millioner dollars til ondsindede spillere på grund af en udnyttelse den 17. april, der gjorde det muligt for en hacker at vedtage et forslag til styring.
Ethereum-baseret stablecoin Protokols udnyttelse efterlod adskillige tokens og så dens US dollar-tilknyttede stablecoin falde under $1-mærket.
Beanstalk led en udnyttelse i dag.
Beanstalk Farms-holdet efterforsker angrebet og vil give en meddelelse til samfundet så hurtigt som muligt.
— Beanstalk Farms (@BeanstalkFarms) April 17, 2022
Bønner protokol udnyttet
Blockchain sikkerhedsfirma PeckShield rapporterede først hacket på Twitter og sagde en hacker stjal mere end $80 millioner ved at udnytte Beanstalk Farms.
1 / The @BeanstalkFarms blev udnyttet i en byge af txs (https://t.co/PMsdP5dnJG , https://t.co/wyHe3ARZgU),
hvilket fører til en gevinst på $80+M for hackeren (Protokoltabet kan være større), inklusive 24,830 ETH og 36M BEAN.- PeckShield Inc. (@peckshield) April 17, 2022
Hackeren brugte flash-lån til at skaffe en stor mængde Beanstalk STALK-tokens, hvilket gav dem nok stemmestyrke til at vedtage et regeringsforslag, der drænede alle midlerne på protokollen ind i hackerens tegnebog.
Hackeren betalte derefter flashlånene tilbage fra Aave, Uniswap V2, og Sushiwap og konverterede midlerne til Wrapped ETH. De stjålne midler blev derefter sendt gennem Tornado Cash-mixeren. Hackeren donerede også noget af hans stjålne krypto til Ukraine.
4/ De oprindelige midler til at starte hacket trækkes tilbage fra @SynapseProtocol og størstedelen af resultatgevinsten deponeres til @TornadoCash. I øjeblikket forbliver 15,154 ETH stadig på hackerens konto. Bemærk, at hackeren donerer 250 USDC til Ukraines kryptodonation. pic.twitter.com/jBjUJ0JbGj
- PeckShield Inc. (@peckshield) April 17, 2022
Flash-lån er almindelige
Beanstalk Farms' udnyttelse er ikke than første gang, angribere har udnyttet flashlån. Ifølge angrebsoversigten, der blev lagt ud på Beanstalk Discord-serveren, skete udnyttelsen, fordi Beanstalk ikke kunne:
"brug et flashlånsbestandigt mål til at bestemme procentdelen af Stalk, der havde stemt for BIP."
1/5
Den nye populære @beanstalkfarms protokollen tabte $181M+ i dagens udnyttelse, men angriberen fik kun $76M.
Lad os finde ud af, hvad der skete? pic.twitter.com/sRjzAF8stE
- Igor Igamberdiev (@FrankResearcher) April 17, 2022
Blockchain Security-firmaet, der er ansvarligt for revision af Beanstalk-smarte kontrakter, Omnicia, sagde, at Beanstalk lancerede koden med flashlånssårbarheden efter sin revision. Det tilføjede i en postmortem analyse af angrebet, at det endnu ikke havde revideret den udnyttede kode.
I betragtning af udbredelsen af flash lån udnytter i DeFi-området er det overraskende, at Beanstalk introducerede koden uden ordentlig revision.
Derudover er der bekymring for, om protokollen vil refundere brugerne. Beanstalk Farms sagde, at det vil give flere opdateringer på sit næste rådhusmøde.
Hacket kommer kun et par uger efter en Ronin-bro-udnyttelse tabt over 600 millioner dollars på Axie Infinity i marts.
I mellemtiden har Tornado Cashs brug af hackere givet anledning til kritik for dets manglende indsats for at forhindre svindel. TETH-mixeren sagde for nylig, at den bruger Chainanalysis Oracle-kontrakten til blokere adresser sanktioneret af Office of Foreign Assets Control (OFAC) fra at bruge dets tjenester.
Tornado Cash bruger @chainalysis oracle-kontrakt for at blokere OFAC-sanktionerede adresser fra at få adgang til dapp.
Opretholdelse af økonomisk privatliv er afgørende for at bevare vores frihed, men det bør ikke ske på bekostning af manglende overholdelse.https://t.co/tzZe7bVjZt— ?️ Tornado.cash ?️ (@TornadoCash) April 15, 2022
Kilde: https://cryptoslate.com/defi-protocol-beanstalk-loses-180m-in-exploit-hacker-gains-80m/