Beanstalk, protokół DeFi, potwierdził, że został wczoraj zhakowany z ponad $180 miliardów poprzez atak flash loan.
Protokół DeFi Beanstalk Farms stracił ponad 180 milionów dolarów na rzecz złośliwych graczy z powodu exploita z 17 kwietnia, który pozwolił hakerowi na przekazanie propozycji zarządzania.
W wyniku exploita w protokole stablecoin opartym na Ethereum zaginęło kilka tokenów, a wartość stablecoina w dolarach amerykańskich spadła poniżej 1 dolara.
Beanstalk ucierpiał dziś z powodu exploita.
Zespół Beanstalk Farms bada sprawę ataku i jak najszybciej poinformuje o tym społeczność.
– Beanstalk Farms (@BeanstalkFarms) April 17, 2022
Protokół fasoli wykorzystany
Firma PeckShield, zajmująca się bezpieczeństwem blockchain, jako pierwsza poinformowała o włamaniu na Twitterze i powiedziała, że haker ukradł ponad 80 milionów dolarów, wykorzystując Beanstalk Farms.
1/ Wykorzystanie @BeanstalkFarms nastąpiło w serii sygnałów (https://t.co/PMsdP5dnJG i https://t.co/wyHe3ARZgU),
co przyniosło hakerowi 80+M$ (straty protokołu mogą być większe), w tym 24 830 ETH i 36M BEAN.– PeckShield Inc. (@peckshield) April 17, 2022
Haker wykorzystał pożyczki flash, aby uzyskać dużą ilość żetonów Beanstalk STALK, co dało mu wystarczającą siłę głosu, aby uchwalić propozycję zarządzania, która spowodowała wydrenowanie wszystkich środków z protokołu do portfela hakera.
Następnie haker spłacił pożyczki flash od Aave, Uniswap V2 i Sushiswap i zamienił środki na Wrapped ETH. Skradzione środki zostały następnie przesłane za pośrednictwem miksera Tornado Cash. Haker przekazał również część skradzionej kryptowaluty na Ukrainę.
4/ Początkowe środki na rozpoczęcie hakowania zostały pobrane z @SynapseProtocol, a większość zysków z tego tytułu została zdeponowana w @TornadoCash Obecnie 15,154 ETH pozostaje na koncie hakera. Uwaga: haker przekazał 250 tys. USDC na ukraińską fundację kryptowalutową. pic.twitter.com/jBjUJ0JbGj
– PeckShield Inc. (@peckshield) April 17, 2022
Pożyczki flash są często wykorzystywane
Beanstalk Farms nie jest pierwszym przypadkiem wykorzystania przez atakujących pożyczek flash. Zgodnie z podsumowaniem ataku opublikowanym na serwerze Discord firmy Beanstalk, exploit został wykorzystany, ponieważ Beanstalk nie zdołał:
„użyć środka odpornego na pożyczki flash, aby określić, jaki odsetek użytkowników Stalk głosował za BIP. „
1/5
Nowy popularny protokół @beanstalkfarms stracił w dzisiejszym exploicie $181M+, ale atakujący zyskał tylko $76M.
Sprawdźmy, co się stało pic.twitter.com/sRjzAF8stE
– Igor Igamberdiev (@FrankResearcher) April 17, 2022
Firma Omnicia, odpowiedzialna za audyt inteligentnych kontraktów Beanstalk, stwierdziła, że Beanstalk uruchomił kod z luką w zabezpieczeniach flash loan po przeprowadzeniu audytu. W analizie pośmiertnej ataku dodała, że nie przeprowadziła jeszcze audytu wykorzystanego kodu.
Biorąc pod uwagę powszechność exploitów dotyczących pożyczek flash w sektorze DeFi, zaskakujące jest to, że Beanstalk wprowadził kod bez odpowiedniego audytu.
Ponadto istnieją obawy, czy protokół będzie zwracał pieniądze użytkownikom. Firma Beanstalk Farms zapowiedziała, że przekaże więcej informacji na następnym spotkaniu w ratuszu.
Włamanie ma miejsce zaledwie kilka tygodni po tym, jak exploit mostu Ronin spowodował utratę ponad 600 milionów dolarów przez Axie Infinity w marcu.
Tymczasem wykorzystanie Tornado Cash przez hakerów wywołało krytykę z powodu braku starań w zapobieganiu oszustwom. Mieszalnia ETH poinformowała niedawno, że wykorzystuje kontrakt Chainanalysis Oracle do blokowania adresów objętych sankcjami Biura Kontroli Aktywów Zagranicznych (OFAC) przed korzystaniem z jej usług.
Tornado Cash używa @chainalysis oracle contract do blokowania adresom objętym sankcjami OFAC dostępu do dapp.
Zachowanie prywatności finansowej jest niezbędne do zachowania naszej wolności, jednak nie powinno odbywać się kosztem nieprzestrzegania przepisów.https://t.co/tzZe7bVjZt– ️ Tornado.cash ️ (@TornadoCash) 15 kwietnia 2022