Beanstalk, un protocolo DeFi, ha confirmado que ayer fue hackeado en más de 180 mil millones de dólares a través de un ataque de préstamo flash.
El protocolo DeFi Beanstalk Farms perdió más de 180 millones de dólares a manos de jugadores maliciosos debido a un exploit el 17 de abril que permitió a un hacker pasar una propuesta de gobierno.
El exploit del protocolo stablecoin basado en Ethereum dejó varios tokens perdidos y vio cómo su stablecoin, con un dólar, caía por debajo de la marca de 1 dólar.
Beanstalk ha sufrido un exploit hoy.
El equipo de Beanstalk Farms está investigando el ataque y hará un anuncio a la comunidad tan pronto como sea posible.
– Beanstalk Farms (@BeanstalkFarms) April 17, 2022
Protocolo de los frijoles explotado
La empresa de seguridad de cadenas de bloques PeckShield informó por primera vez del hackeo en Twitter y dijo que un hacker robó más de 80 millones de dólares explotando las granjas de Beanstalk.
1/ El @BeanstalkFarms fue explotado en una ráfaga de txs (https://t.co/PMsdP5dnJG y https://t.co/wyHe3ARZgU),
lo que llevó a la ganancia de $ 80 + M para el hacker (La pérdida de protocolo puede ser mayor), incluyendo 24.830 ETH y 36M BEAN.– PeckShield Inc. (@peckshield) 17 de abril de 2022
El hacker utilizó préstamos flash para obtener una gran cantidad de tokens STALK de Beanstalk, lo que les dio suficiente poder de voto para aprobar una propuesta de gobierno que drenó todos los fondos del protocolo en la cartera del hacker.
A continuación, el hacker pagó los préstamos flash de Aave, Uniswap V2 y Sushiswap y convirtió los fondos en ETH envueltos. Los fondos robados fueron entonces enviados a través del mezclador Tornado Cash. El hacker también donó parte de su cripto robado a Ucrania.
4/ Los fondos iniciales para lanzar el hack son retirados de @SynapseProtocol y la mayoría de las ganancias resultantes son depositadas en @TornadoCash Actualmente 15.154 ETH siguen en la cuenta del hacker. Nota el hacker dona 250k USDC a Ucrania Crypto Donation. pic.twitter.com/jBjUJ0JbGj
– PeckShield Inc. (@peckshield) 17 de abril de 2022
Las hazañas de los préstamos de flash son comunes
El exploit de Beanstalk Farms no es la primera vez que los atacantes se aprovechan de los préstamos flash. Según el resumen del ataque publicado en el servidor Discord de Beanstalk, el exploit se produjo porque Beanstalk no:
«utilizar una medida resistente a los préstamos flash para determinar el % de Stalk que había votado a favor del BIP».
1/5
El nuevo y popular protocolo @beanstalkfarms perdió 181M$+ en el exploit de hoy, pero el atacante sólo ganó 76M$.
Averigüemos qué pasó pic.twitter.com/sRjzAF8stE
– Igor Igamberdiev (@FrankResearcher) April 17, 2022
La firma de seguridad de blockchain responsable de auditar los contratos inteligentes de Beanstalk, Omnicia, dijo que Beanstalk lanzó el código con la vulnerabilidad del préstamo flash después de su auditoría. Añadió en un análisis postmortem del ataque que aún no había auditado el código explotado.
Dada la prevalencia de los exploits de préstamos flash en el espacio DeFi, es sorprendente que Beanstalk haya introducido el código sin una auditoría adecuada.
Además, existen dudas sobre si el protocolo reembolsará a los usuarios. Beanstalk Farms dijo que proporcionará más actualizaciones en su próxima reunión del ayuntamiento.
El hackeo se produce sólo unas semanas después de que un exploit del puente Ronin hiciera perder más de 600 millones de dólares a Axie Infinity en marzo.
Mientras tanto, el uso de Tornado Cash por parte de los hackers ha suscitado críticas por su falta de esfuerzo en la prevención del fraude. El mezclador ETH dijo recientemente que está utilizando el contrato Chainanalysis Oracle para bloquear las direcciones sancionadas por la Oficina de Control de Activos Extranjeros (OFAC) para que no utilicen sus servicios.
Tornado Cash utiliza el contrato oracle @chainalysis para bloquear las direcciones sancionadas por la OFAC para que no puedan acceder a la dapp.
Mantener la privacidad financiera es esencial para preservar nuestra libertad, sin embargo, no debe venir a costa del incumplimiento.https://t.co/tzZe7bVjZt– ️ Tornado.cash ️ (@TornadoCash) April 15, 2022
