Beanstalk, protokol DeFi, potvrdil, že byl včera hacknut o více než 180 miliard dolarů prostřednictvím útoku na flash půjčku.
DeFi protokol Beanstalk Farms přišel 17. dubna o více než 180 milionů dolarů díky exploitu, který hackerovi umožnil podat návrh na správu.
Kvůli exploitu v stablecoinovém protokolu založeném na Ethereu chybělo několik tokenů a jeho stablecoin vázaný na americký dolar klesl pod hranici 1 dolaru.
Beanstalk dnes utrpěl exploit.
Tým Beanstalk Farms útok vyšetřuje a co nejdříve vydá oznámení pro komunitu.
– Beanstalk Farms (@BeanstalkFarms) 17. dubna 2022
Zneužití protokolu fazolí
Blockchainová bezpečnostní společnost PeckShield o hackerském útoku poprvé informovala na Twitteru a uvedla, že hacker zneužitím Beanstalk Farms ukradl více než 80 milionů dolarů.
1/ @BeanstalkFarms byl zneužit v přívalu txs (https://t.co/PMsdP5dnJG a https://t.co/wyHe3ARZgU),
což vedlo k zisku více než 80 milionů dolarů pro hackera (Ztráta protokolu může být větší), včetně 24 830 ETH a 36 milionů BEAN.– PeckShield Inc. (@peckshield) 17. dubna 2022
Hacker použil bleskové půjčky k získání velkého množství tokenů Beanstalk STALK, což mu dalo dostatečnou hlasovací sílu k přijetí návrhu na správu, který odčerpal všechny prostředky na protokolu do hackerovy peněženky.
Hacker poté splatil bleskové půjčky od společností Aave, Uniswap V2 a Sushiswap a převedl prostředky na zabalené ETH. Ukradené prostředky pak byly odeslány prostřednictvím směšovače Tornado Cash. Hacker také věnoval část ukradených kryptoměn Ukrajině.
4/ Počáteční prostředky na spuštění hackerského útoku byly vybrány z @SynapseProtocol a většina výsledných zisků byla uložena do @TornadoCash V současné době na hackerově účtu stále zůstává 15 154 ETH. Všimněte si, že hacker věnuje 250k USDC na Ukrajinu Crypto Donation. pic.twitter.com/jBjUJ0JbGj
– PeckShield Inc. (@peckshield) 17. dubna 2022
Zneužití bleskové půjčky je běžné
Zneužití společnosti Beanstalk Farms není prvním případem, kdy útočníci zneužili flash půjčky. Podle shrnutí útoku zveřejněného na serveru Beanstalk Discord k exploitu došlo, protože Beanstalk nedokázal:
„použít opatření odolné proti bleskovým půjčkám, aby určil % Stalk, které hlasovalo pro BIP. „
1/5
Nový populární protokol @beanstalkfarms přišel při dnešním zneužití o více než 181 milionů dolarů, ale útočník získal pouze 76 milionů dolarů.
Pojďme zjistit, co se stalo pic.twitter.com/sRjzAF8stE
– Igor Igamberdiev (@FrankResearcher) 17. dubna 2022
Blockchain Bezpečnostní firma Omnicia, která je zodpovědná za audit chytrých kontraktů Beanstalk, uvedla, že Beanstalk po svém auditu spustil kód se zranitelností flash loan. V analýze po útoku dodala, že zneužitý kód ještě neauditovala.
Vzhledem k rozšířenosti exploitů flash loans v prostoru DeFi je překvapivé, že Beanstalk uvedl kód bez řádného auditu.
Navíc existují obavy, zda protokol uživatelům vrátí peníze. Společnost Beanstalk Farms uvedla, že na příštím setkání na radnici poskytne další aktualizace.
Hack přichází jen několik týdnů poté, co se v březnu díky exploitu Ronin bridge ztratilo přes 600 milionů dolarů na Axie Infinity.
Využití Tornado Cash hackery mezitím vyvolalo kritiku za nedostatečné úsilí při prevenci podvodů. Směnárna ETH nedávno uvedla, že využívá smlouvy Chainanalysis Oracle k blokování adres, na které Úřad pro kontrolu zahraničních aktiv (OFAC) uvalil sankce, aby nemohly využívat její služby.
Tornado Cash používá @chainalysis oracle contract k blokování adres, na které uvalil sankce OFAC, aby neměly přístup k dapp.
Zachování finančního soukromí je pro zachování naší svobody zásadní, nemělo by však být za cenu nedodržování předpisů. https://t.co/tzZe7bVjZt– ️ Tornado.cash ️ (@TornadoCash) 15. dubna 2022