Beanstalk, een DeFi protocol, heeft bevestigd dat het gisteren is gehackt van meer dan $180 miljard via een flash loan aanval.
DeFi protocol Beanstalk Farms verloor meer dan $180 miljoen aan kwaadwillende spelers als gevolg van een exploit op 17 april die een hacker in staat stelde om een bestuursvoorstel door te geven.
De exploit van het op Ethereum gebaseerde stablecoin-protocol liet verschillende tokens verloren gaan en zag zijn in Amerikaanse dollar luidende stablecoin onder de grens van $1 zakken.
Beanstalk heeft vandaag een exploit gehad.
Het Beanstalk Farms team onderzoekt de aanval en zal zo snel mogelijk een aankondiging doen aan de gemeenschap.
– Beanstalk Farms (@BeanstalkFarms) April 17, 2022
Beans protocol misbruikt
Blockchain beveiligingsbedrijf PeckShield meldde de hack voor het eerst op Twitter en zei dat een hacker meer dan $80 miljoen heeft gestolen door Beanstalk Farms uit te buiten.
1/ De @BeanstalkFarms werd uitgebuit in een vlaag van txs (https://t.co/PMsdP5dnJG en https://t.co/wyHe3ARZgU),
wat leidde tot een winst van $80+M voor de hacker (Het protocol verlies kan groter zijn), inclusief 24.830 ETH en 36M BEAN.– PeckShield Inc. (@peckshield) April 17, 2022
De hacker gebruikte flash leningen om een grote hoeveelheid Beanstalk STALK tokens te verkrijgen, wat hen genoeg stemrecht gaf om een bestuursvoorstel door te laten gaan dat alle fondsen op het protocol in de portemonnee van de hacker liet lopen.
De hacker betaalde vervolgens de flitsleningen van Aave, Uniswap V2, en Sushiswap terug en zette de fondsen om in Wrapped ETH. De gestolen fondsen werden vervolgens verstuurd via de Tornado Cash mixer. De hacker doneerde ook een deel van zijn gestolen crypto aan Oekraïne.
4/ De initiële fondsen om de hack te starten zijn onttrokken aan @SynapseProtocol en het grootste deel van de resultaatwinsten zijn gestort naar @TornadoCash Momenteel staat er nog 15.154 ETH op de rekening van de hacker. Merk op dat de hacker 250k USDC doneert aan Oekraïne Crypto Donatie. pic.twitter.com/jBjUJ0JbGj
– PeckShield Inc. (@peckshield) April 17, 2022
Flash loan exploits are common
Beanstalk Farms’ exploit is niet de eerste keer dat aanvallers misbruik maken van flitsleningen. Volgens de aanvalssamenvatting die op de Beanstalk Discord server werd gepost, gebeurde het misbruik omdat Beanstalk faalde om:
“een flitslening resistente maatregel te gebruiken om het % van Stalk te bepalen dat voor de BIP had gestemd. “
1/5
Het nieuwe populaire @beanstalkfarms protocol verloor $181M+ bij de exploit van vandaag, maar de aanvaller won slechts $76M.
Laten we uitzoeken wat er gebeurd is pic.twitter.com/sRjzAF8stE
– Igor Igamberdiev (@FrankResearcher) April 17, 2022
Het blockchain Security bedrijf dat verantwoordelijk is voor het auditen van Beanstalk smart contracts, Omnicia, zei dat Beanstalk de code met de flitslening kwetsbaarheid lanceerde na zijn audit. Het voegde in een postmortem analyse van de aanval toe dat het de uitgebuite code nog niet had geaudit.
Gezien de prevalentie van flash loans exploits in de DeFi ruimte, is het verrassend dat Beanstalk de code heeft geïntroduceerd zonder de juiste audits uit te voeren.
Bovendien zijn er zorgen over de vraag of het protocol gebruikers zal terugbetalen. Beanstalk Farms zei dat het meer updates zal geven op zijn volgende gemeentehuis bijeenkomst.
De hack komt slechts een paar weken nadat een Ronin bridge exploit meer dan 600 miljoen dollar verloor op Axie Infinity in maart.
Ondertussen heeft het gebruik van Tornado Cash door hackers aanleiding gegeven tot kritiek vanwege het gebrek aan inspanningen om fraude te voorkomen. De ETH mixer zei onlangs dat het het Chainanalysis Oracle contract gebruikt om adressen te blokkeren die door het Office of Foreign Assets Control (OFAC) gesanctioneerd zijn voor het gebruik van zijn diensten.
Tornado Cash gebruikt @chainalysis oracle contract om OFAC gesanctioneerde adressen te blokkeren van toegang tot de dapp.
Het behoud van financiële privacy is essentieel voor het behoud van onze vrijheid, het mag echter niet ten koste gaan van niet-naleving.https://t.co/tzZe7bVjZt– ️ Tornado.cash ️ (@TornadoCash) April 15, 2022