Beanstalk, ein DeFi-Protokoll, hat bestätigt, dass es gestern durch einen Flash-Loan-Angriff um über $180 Mrd. gehackt wurde.
Das DeFi-Protokoll Beanstalk Farms hat durch einen Exploit am 17. April, der es einem Hacker ermöglichte, einen Governance-Vorschlag durchzusetzen, über 180 Millionen Dollar an böswillige Spieler verloren.
Durch die Sicherheitslücke des Ethereum-basierten Stablecoin-Protokolls fehlten mehrere Token und der an den US-Dollar gekoppelte Stablecoin fiel unter die 1-Dollar-Marke.
Beanstalk wurde heute Opfer einer Sicherheitslücke.
Das Team von Beanstalk Farms untersucht den Angriff und wird die Community so bald wie möglich darüber informieren.
– Beanstalk Farms (@BeanstalkFarms) April 17, 2022
Bohnen-Protokoll ausgenutzt
Das Blockchain-Sicherheitsunternehmen PeckShield meldete den Hack zuerst auf Twitter und sagte, dass ein Hacker mehr als 80 Millionen Dollar gestohlen hat, indem er Beanstalk Farms ausnutzte
1/ Der @BeanstalkFarms wurde in einer Reihe von txs ausgenutzt (https://t.co/PMsdP5dnJG und https://t.co/wyHe3ARZgU),
Dies führte zu einem Gewinn von $80+M für den Hacker (der Protokollverlust könnte größer sein), einschließlich 24.830 ETH und 36M BEAN.– PeckShield Inc. (@peckshield) April 17, 2022
Der Hacker nutzte Flash-Darlehen, um eine große Menge an Beanstalk STALK-Tokens zu erhalten, die ihm genug Stimmrecht gaben, um einen Vorschlag zur Unternehmensführung zu verabschieden, der alle Gelder des Protokolls in die Geldbörse des Hackers abfließen ließ.
Der Hacker zahlte dann die Flash-Darlehen von Aave, Uniswap V2 und Sushiswap zurück und wandelte die Gelder in Wrapped ETH um. Die gestohlenen Gelder wurden dann durch den Tornado Cash Mixer geschickt. Der Hacker spendete außerdem einen Teil der gestohlenen Kryptowährung an die Ukraine:
4/ Die anfänglichen Gelder, um den Hack zu starten, wurden von @SynapseProtocol abgehoben und der Großteil der daraus resultierenden Gewinne wurde auf @TornadoCash eingezahlt. Derzeit befinden sich noch 15.154 ETH auf dem Konto des Hackers. Beachten Sie, dass der Hacker 250k USDC an die Ukraine Crypto Donation spendet. pic.twitter.com/jBjUJ0JbGj
– PeckShield Inc. (@peckshield) April 17, 2022
Flash loan exploits are common
Beanstalk Farms‘ Exploit ist nicht das erste Mal, dass Angreifer Flash Loans ausnutzen. Laut der Zusammenfassung des Angriffs, die auf dem Beanstalk-Discord-Server gepostet wurde, geschah der Angriff, weil Beanstalk versäumte:
„eine Flash-Darlehen-resistente Maßnahme zu verwenden, um den Prozentsatz von Stalk zu bestimmen, der für das BIP gestimmt hat. „
1/5
Das neue populäre @beanstalkfarms-Protokoll hat bei dem heutigen Exploit mehr als 181 Mio. $ verloren, aber der Angreifer hat nur 76 Mio. $ gewonnen.
Finden wir heraus, was passiert ist pic.twitter.com/sRjzAF8stE
– Igor Igamberdiev (@FrankResearcher) April 17, 2022
Die Blockchain-Sicherheitsfirma, die für die Prüfung von Beanstalk-Smart Contracts verantwortlich ist, Omnicia, sagte, dass Beanstalk den Code mit der Flash Loan-Schwachstelle nach seiner Prüfung veröffentlicht hat. Es fügte in einer Postmortem-Analyse des Angriffs hinzu, dass es den ausgenutzten Code noch nicht geprüft habe.
Angesichts der weiten Verbreitung von Flash Loan-Exploits im DeFi-Bereich ist es überraschend, dass Beanstalk den Code ohne ordnungsgemäße Prüfung eingeführt hat.
Darüber hinaus gibt es Bedenken, ob das Protokoll die Nutzer entschädigen wird. Beanstalk Farms sagte, dass es bei seinem nächsten Townhall-Meeting mehr Informationen geben wird.
Der Hack ereignete sich nur wenige Wochen nach einem Ronin-Bridge-Exploit, bei dem im März über 600 Millionen Dollar auf Axie Infinity verloren gingen.
In der Zwischenzeit hat die Nutzung von Tornado Cash durch Hacker Kritik an den mangelnden Bemühungen zur Betrugsbekämpfung hervorgerufen. Der ETH-Mixer sagte kürzlich, dass er den Chainanalysis-Oracle-Vertrag nutzt, um Adressen, die vom Office of Foreign Assets Control (OFAC) sanktioniert wurden, von der Nutzung seiner Dienste auszuschließen.
Tornado Cash nutzt den @chainalysis Oracle-Vertrag, um OFAC-sanktionierte Adressen vom Zugriff auf die App auszuschließen.
Die Wahrung der finanziellen Privatsphäre ist wichtig, um unsere Freiheit zu erhalten, aber sie sollte nicht auf Kosten der Nichteinhaltung kommen.https://t.co/tzZe7bVjZt– ️ Tornado.cash ️ (@TornadoCash) April 15, 2022