Beanstalk, un protocollo DeFi, ha confermato di essere stato violato di oltre $180 miliardi tramite un attacco flash loan ieri.
Il protocollo DeFi Beanstalk Farms ha perso oltre 180 milioni di dollari a causa di un exploit il 17 aprile che ha permesso ad un hacker di passare una proposta di governance.
L’exploit del protocollo stablecoin basato su Ethereum ha lasciato diversi token mancanti e ha visto il suo stablecoin con ancoraggio in dollari scendere sotto la soglia di 1 dollaro.
Beanstalk ha subito un exploit oggi.
Il team di Beanstalk Farms sta indagando sull’attacco e farà un annuncio alla comunità il prima possibile.
– Beanstalk Farms (@BeanstalkFarms) April 17, 2022
Beans protocol exploited
L’azienda di sicurezza blockchain PeckShield ha segnalato per prima la violazione su Twitter e ha detto che un hacker ha rubato più di 80 milioni di dollari sfruttando Beanstalk Farms.
1/ Il @BeanstalkFarms è stato sfruttato in una raffica di tx (https://t.co/PMsdP5dnJG e https://t.co/wyHe3ARZgU),
portando al guadagno di $80+M per l’hacker (La perdita di protocollo potrebbe essere maggiore), inclusi 24.830 ETH e 36M BEAN.– PeckShield Inc. (@peckshield) April 17, 2022
L’hacker ha usato prestiti flash per ottenere una grande quantità di token Beanstalk STALK, che gli ha dato abbastanza potere di voto per far passare una proposta di governance che ha drenato tutti i fondi del protocollo nel portafoglio dell’hacker.
L’hacker ha poi ripagato i prestiti flash di Aave, Uniswap V2 e Sushiswap e ha convertito i fondi in Wrapped ETH. I fondi rubati sono stati poi inviati attraverso il mixer Tornado Cash. L’hacker ha anche donato alcune delle sue criptovalute rubate all’Ucraina.
4/ I fondi iniziali per lanciare l’hack sono stati prelevati da @SynapseProtocol e la maggior parte dei guadagni sono stati depositati su @TornadoCash Attualmente 15.154 ETH rimangono ancora nel conto dell’hacker. Da notare che l’hacker dona 250k USDC all’Ukraine Crypto Donation. pic.twitter.com/jBjUJ0JbGj
– PeckShield Inc. (@peckshield) April 17, 2022
Gli exploit dei prestiti flash sono comuni
L’exploit di Beanstalk Farms non è la prima volta che gli attaccanti sfruttano i prestiti flash. Secondo il riassunto dell’attacco pubblicato sul server Discord di Beanstalk, l’exploit è avvenuto perché Beanstalk non è riuscito a:
“utilizzare una misura resistente ai prestiti flash per determinare la % di Stalk che aveva votato a favore del BIP. “
1/5
Il nuovo popolare protocollo @beanstalkfarms ha perso 181M$+ nell’exploit di oggi, ma l’attaccante ha guadagnato solo 76M$.
Cerchiamo di capire cosa è successo pic.twitter.com/sRjzAF8stE
– Igor Igamberdiev (@FrankResearcher) April 17, 2022
La società di sicurezza blockchain responsabile della revisione dei contratti intelligenti di Beanstalk, Omnicia, ha detto che Beanstalk ha lanciato il codice con la vulnerabilità del prestito flash dopo la sua revisione. Ha aggiunto in un’analisi post mortem dell’attacco che non aveva ancora verificato il codice sfruttato.
Data la prevalenza di exploit di prestiti flash nello spazio DeFi, è sorprendente che Beanstalk abbia introdotto il codice senza un adeguato audit.
Inoltre, ci sono preoccupazioni sul fatto che il protocollo rimborserà gli utenti. Beanstalk Farms ha detto che fornirà ulteriori aggiornamenti al suo prossimo incontro in municipio.
L’hack arriva solo poche settimane dopo che un exploit del ponte Ronin ha perso oltre 600 milioni di dollari su Axie Infinity a marzo.
Nel frattempo, l’uso di Tornado Cash da parte degli hacker ha dato luogo a critiche per la sua mancanza di impegno nella prevenzione delle frodi. Il mixer ETH ha recentemente detto che sta utilizzando il contratto Chainanalysis Oracle per bloccare gli indirizzi sanzionati dall’Office of Foreign Assets Control (OFAC) dall’utilizzo dei suoi servizi.
Tornado Cash usa @chainalysis oracle contract per bloccare gli indirizzi sanzionati dall’OFAC dall’accesso alla dapp.
Mantenere la privacy finanziaria è essenziale per preservare la nostra libertà, tuttavia, non dovrebbe venire al costo della non conformità.https://t.co/tzZe7bVjZt– ️ Tornado.cash ️ (@TornadoCash) April 15, 2022
