Beanstalk, un protocole DeFi, a confirmé qu’il a été piraté de plus de 180 milliards de dollars via une attaque de prêt flash hier.
Le protocole DeFi Beanstalk Farms a perdu plus de 180 millions de dollars au profit de joueurs malveillants en raison d’un exploit le 17 avril qui a permis à un pirate de faire passer une proposition de gouvernance.
L’exploit du protocole de stablecoin basé sur Ethereum a laissé plusieurs jetons manquants et a vu son stablecoin libellé en dollars américains passer sous la barre de 1 dollar.
Beanstalk a subi un exploit aujourd’hui.
L’équipe de Beanstalk Farms enquête sur cette attaque et fera une annonce à la communauté dès que possible.
– Beanstalk Farms (@BeanstalkFarms) April 17, 2022
Protocole Beans exploité
La société de sécurité blockchain PeckShield a été la première à signaler le piratage sur Twitter et a déclaré qu’un pirate avait volé plus de 80 millions de dollars en exploitant Beanstalk Farms
1/ Le @BeanstalkFarms a été exploité dans une rafale de txs (https://t.co/PMsdP5dnJG et https://t.co/wyHe3ARZgU),
conduisant à un gain de plus de 80 millions de dollars pour le pirate (la perte de protocole peut être plus importante), dont 24 830 ETH et 36 millions de BEAN.– PeckShield Inc. (@peckshield) April 17, 2022
Le pirate a utilisé des prêts flash pour obtenir une grande quantité de jetons STALK de Beanstalk, ce qui lui a donné suffisamment de pouvoir de vote pour adopter une proposition de gouvernance qui a drainé tous les fonds du protocole dans le portefeuille du pirate.
Le pirate a ensuite remboursé les prêts flash d’Aave, Uniswap V2 et Sushiswap et a converti les fonds en Wrapped ETH. Les fonds volés ont ensuite été envoyés par le mélangeur Tornado Cash. Le pirate a également fait don d’une partie de sa crypto volée à l’Ukraine.
4/ Les fonds initiaux pour lancer le piratage sont retirés de @SynapseProtocol et la plupart des gains obtenus sont déposés sur @TornadoCash Actuellement, 15 154 ETH restent sur le compte du hacker. Notez que le hacker fait don de 250k USDC à l’Ukraine Crypto Donation. pic.twitter.com/jBjUJ0JbGj
– PeckShield Inc. (@peckshield) Avril 17, 2022
Les exploits de prêts flash sont fréquents
L’exploit de Beanstalk Farms n’est pas la première fois que des attaquants exploitent des prêts flash. D’après le résumé de l’attaque posté sur le serveur Discord de Beanstalk, l’exploitation s’est produite parce que Beanstalk n’a pas réussi à :
« utiliser un système de gestion des prêts flash ».
« utiliser une mesure de résistance aux prêts flash pour déterminer le % de Stalk qui avait voté en faveur du BIP. «
1/5
Le nouveau protocole populaire @beanstalkfarms a perdu plus de 181 millions de dollars dans l’exploit d’aujourd’hui, mais l’attaquant n’a gagné que 76 millions de dollars.
Essayons de comprendre ce qui s’est passé pic.twitter.com/sRjzAF8stE
– Igor Igamberdiev (@FrankResearcher) April 17, 2022
La société de sécurité de la blockchain responsable de l’audit des contrats intelligents de Beanstalk, Omnicia, a déclaré que Beanstalk a lancé le code avec la vulnérabilité du prêt flash après son audit. Elle a ajouté dans une analyse post-mortem de l’attaque qu’elle n’avait pas encore audité le code exploité.
Étant donné la prévalence des exploits de prêts flash dans l’espace DeFi, il est surprenant que Beanstalk ait introduit le code sans audit approprié.
En outre, on se demande si le protocole remboursera les utilisateurs. Beanstalk Farms a déclaré qu’il fournirait de plus amples informations lors de sa prochaine réunion publique.
Ce piratage intervient quelques semaines seulement après que l’exploit du pont Ronin a fait perdre plus de 600 millions de dollars à Axie Infinity en mars.
Entre-temps, l’utilisation de Tornado Cash par les pirates a suscité des critiques pour son manque d’efforts dans la prévention de la fraude. Le mélangeur ETH a récemment déclaré qu’il utilisait le contrat Chainanalysis Oracle pour empêcher les adresses sanctionnées par l’Office of Foreign Assets Control (OFAC) d’utiliser ses services.
Tornado Cash utilise le contrat Oracle @chainalysis pour empêcher les adresses sanctionnées par l’OFAC d’accéder à son application.
Le maintien de la confidentialité financière est essentiel pour préserver notre liberté, cependant, il ne devrait pas se faire au prix de la non-conformité.https://t.co/tzZe7bVjZt– ️ Tornado.cash ️ (@TornadoCash) April 15, 2022