DeFiプロトコルのBeanstalkは、昨日フラッシュローン攻撃で1800億ドル以上をハッキングされたことを確認しました
。
DeFiプロトコルBeanstalk Farmsは、4月17日にハッカーがガバナンス案を通過させるエクスプロイトにより、悪意のあるプレイヤーに1億8000万ドル以上を奪われました。
イーサリアムベースの安定コインプロトコルのエクスプロイトにより、いくつかのトークンが行方不明になり、米ドルペッグの安定コインが1ドルを割り込みました。
Beanstalkは今日、エクスプロイトに見舞われました。
Beanstalk Farmsチームは攻撃を調査中で、できるだけ早くコミュニティに発表します。
– Beanstalk Farms (@BeanstalkFarms) April 17, 2022
。
ビーンズプロトコルが悪用された
ブロックチェーンセキュリティ企業のPeckShieldがTwitterで最初にハッキングを報告し、ハッカーがBeanstalk Farmsを悪用して8000万ドル以上を盗んだと述べました
。
1/ @BeanstalkFarmsを悪用したTx(https://t.co/PMsdP5dnJG、https://t.co/wyHe3ARZgU)が相次いで発生した。
ハッカーは24,830ETHと36M BEANを含む$80+Mの利益を得ました(プロトコル損失はもっと大きいかもしれません)– PeckShield Inc. (@peckshield) 2022年4月17日
です。
ハッカーはフラッシュローンを使って大量のBeanstalk STALKトークンを入手し、十分な投票権を得て、プロトコル上のすべての資金をハッカーのウォレットに流出させるガバナンス案を可決させたのです。
その後、ハッカーはAave、Uniswap V2、Sushiswapからのフラッシュローンを返済し、その資金をWrapped ETHに変換しました。そして、盗まれた資金はTornado Cash mixerを通じて送られました。ハッカーはまた、盗んだ暗号の一部をウクライナに寄付しました。
4/ ハッキングを開始するための初期資金は@SynapseProtocolから引き出し、結果の利益のほとんどは@TornadoCashに預けられる。現在、15,154ETHがまだハッカーのアカウントに残っています。なお、ハッカーは250k USDCをウクライナのCrypto Donationに寄付しています。pic.twitter.com/jBjUJ0JbGj
– PeckShield Inc. (@peckshield) 2022年4月17日
。
Flash loan exploits are common
Beanstalkファームの悪用は、攻撃者がフラッシュローンを悪用するのは今回が初めてではありません。Beanstalk Discordサーバに投稿された攻撃概要によると、Beanstalkが
に失敗したため、この悪用が発生したとのことです。
「BIPに賛成したStalkの割合を決定するために、フラッシュローンの耐性を高める方法を使用すること」
。
1/5
新しく普及した@beanstalkfarmsプロトコルは、今日のエクスプロイトで$181M+を失ったが、攻撃者は$76Mしか得ていない。
何が起きたのか解明しようpic.twitter.com/sRjzAF8stE
– Igor Igamberdiev (@FrankResearcher) April 17, 2022
」。
Beanstalkのスマートコントラクトの監査を担当したブロックチェーンセキュリティ会社Omniciaは、Beanstalkがその監査後にフラッシュローンの脆弱性を持つコードをローンチしたと述べています。また、攻撃の事後分析で、悪用されたコードをまだ監査していないことを付け加えています。
DeFi空間におけるフラッシュローンのエクスプロイトの普及を考えると、Beanstalkが適切な監査を行わずにコードを導入したことは驚くべきことです。
さらに、このプロトコルがユーザーに払い戻しを行うかどうかも懸念される。Beanstalk Farmsは、次回のタウンホールミーティングでさらなる最新情報を提供するとしている。
今回のハッキングは、3月にRonin bridge exploitがAxie Infinityで6億ドル以上の損失を出してからわずか数週間後に発生したものだ。
一方、トルネード・キャッシュがハッカーに利用されたことで、不正防止への取り組みが不十分であるとの批判も出ている。ETHミキサーは最近、Chainanalysis Oracleの契約を使って、外国資産管理局(OFAC)から制裁を受けたアドレスが同社のサービスを利用できないようにブロックしているという。
。
Tornado Cashは、@chainalysisオラクル契約を使って、OFAC制裁を受けたアドレスがダンプにアクセスするのをブロックしています。
金融のプライバシーを維持することは、私たちの自由を守るために不可欠ですが、コンプライアンス違反の犠牲になってはいけません。https://t.co/tzZe7bVjZt– ️ Tornado.cash ️ (@TornadoCash) April 15, 2022
」。
