Beanstalk, DeFi протокол, потвърди, че вчера е бил хакнат за над 180 млрд. долара чрез атака за светкавичен заем.
Дефи протоколът Beanstalk Farms е загубил над 180 млн. долара от злонамерени играчи поради експлойт на 17 април, който е позволил на хакера да прокара предложение за управление.
В резултат на експлойта на базирания на Етериум стабилкойн протокол липсваха няколко токена, а стабилкойнът му, обвързан с американския долар, падна под границата от 1 долар.
Beanstalk претърпя експлойт днес.
Екипът на Beanstalk Farms разследва атаката и ще направи съобщение до общността възможно най-скоро.
– Beanstalk Farms (@BeanstalkFarms) April 17, 2022
Използван е протоколът за бобени зърна
Компанията за сигурност на блокчейн PeckShield първа съобщи за хакерската атака в Twitter и заяви, че хакерът е откраднал повече от 80 млн. долара, като е използвал Beanstalk Farms.
1/ @BeanstalkFarms е бил експлоатиран с множество съобщения (https://t.co/PMsdP5dnJG и https://t.co/wyHe3ARZgU),
което доведе до печалба от 80+ млн. долара за хакера (Загубата на протокола може да е по-голяма), включително 24 830 ETH и 36 млн. BEAN.– PeckShield Inc. (@peckshield) Април 17, 2022
Хакерът е използвал светкавични заеми, за да се сдобие с голямо количество токени Beanstalk STALK, които са му дали достатъчно право на глас, за да приеме предложение за управление, което е източило всички средства на протокола в портфейла на хакера.
След това хакерът изплати светкавичните заеми от Aave, Uniswap V2 и Sushiswap и преобразува средствата в Wrapped ETH. След това откраднатите средства бяха изпратени чрез смесителя Tornado Cash. Хакерът също така дари част от откраднатите криптовалути на Украйна.
4/ Първоначалните средства за стартиране на хакерската атака са изтеглени от @SynapseProtocol, а по-голямата част от печалбите от резултата са депозирани в @TornadoCash В момента 15 154 ETH все още остават в сметката на хакера. Обърнете внимание, че хакерът дарява 250 хил. щатски долара на Ukraine Crypto Donation. pic.twitter.com/jBjUJ0JbGj
– PeckShield Inc. (@peckshield) Април 17, 2022
Престъпленията с флаш заеми са често срещани
Експлойтът на Beanstalk Farms не е първият случай, в който нападателите използват флаш заеми. Според обобщението на атаката, публикувано в сървъра Beanstalk Discord, експлойтът е станал, защото Beanstalk не е успяла да:
„да използва мярка за устойчивост на светкавични заеми, за да определи % от Stalk, които са гласували в полза на BIP. „
1/5
Новият популярен протокол @beanstalkfarms загуби над 181 млн. долара при днешния експлойт, но нападателят спечели само 76 млн. долара.
Да разберем какво се е случило pic.twitter.com/sRjzAF8stE
– Igor Igamberdiev (@FrankResearcher) 17 април 2022 г.
Фирмата за сигурност на блокчейн, отговорна за одита на интелигентните договори на Beanstalk, Omnicia, заяви, че Beanstalk е пуснала кода с уязвимостта на светкавичния заем след своя одит. Тя добави в постморталния анализ на атаката, че все още не е одитирала експлоатирания код.
Като се има предвид разпространението на експлойти за флаш заеми в DeFi пространството, е изненадващо, че Beanstalk е въвел кода без подходящ одит.
Освен това има опасения дали протоколът ще възстанови разходите на потребителите. Beanstalk Farms заяви, че ще предостави повече актуализации на следващата си среща в градската зала.
Хакерската атака идва само няколко седмици след като през март експлойтът Ronin Bridge загуби над 600 млн. долара в Axie Infinity.
Междувременно използването на Tornado Cash от хакери породи критики за липсата на усилия за предотвратяване на измами. Смесителят на ETH наскоро заяви, че използва договора на Chainanalysis Oracle, за да блокира адреси, санкционирани от Службата за контрол на чуждестранните активи (OFAC), да използват услугите му.
Tornado Cash използва @chainalysis договор с Oracle, за да блокира адреси, санкционирани от OFAC, от достъп до dapp.
Поддържането на финансовата неприкосновеност е от съществено значение за запазване на свободата ни, но не трябва да става с цената на неспазване на правилата. https://t.co/tzZe7bVjZt– ️ Tornado.cash ️ (@TornadoCash) 15 април 2022 г.