Beanstalk, um protocolo DeFi, confirmou que foi pirateado de mais de $180 biliões de dólares através de um ataque de empréstimo flash ontem.
DeFi Protocol Beanstalk Farms perdeu mais de 180 milhões de dólares para jogadores maliciosos devido a uma exploração a 17 de Abril que permitiu a um hacker passar uma proposta de governação.
A exploração do protocolo de stablecoin baseado no Ethereum deixou várias fichas em falta e viu o seu stablecoin de moeda americana cair abaixo da marca de $1.
Beanstalk sofreu hoje uma exploração.
A equipa do Beanstalk Farms está a investigar o ataque e fará um anúncio à comunidade logo que possível.
– Beanstalk Farms (@BeanstalkFarms) 17 de Abril de 2022
Protocolo de feijões explorado
Blockchain security company PeckShield primeiro relatou o hack no Twitter e disse que um hacker roubou mais de 80 milhões de dólares explorando Beanstalk Farms.
1/ O @BeanstalkFarms foi explorado numa enxurrada de txs (https://t.co/PMsdP5dnJG e https://t.co/wyHe3ARZgU),
levando ao ganho de $80+M para o hacker (A perda do protocolo pode ser maior), incluindo 24,830 ETH e 36M BEAN.– PeckShield Inc. (A perda do protocolo pode ser maior). (@peckshield) 17 de Abril de 2022
O hacker usou empréstimos flash para obter uma grande quantidade de fichas STALK Beanstalk, o que lhes deu poder de voto suficiente para passar uma proposta de governação que drenou todos os fundos do protocolo para a carteira do hacker.
O hacker pagou então os empréstimos flash da Aave, Uniswap V2, e Sushiswap e converteu os fundos para Wrapped ETH. Os fundos roubados foram então enviados através do misturador de dinheiro Tornado. O hacker doou também parte do seu cripto roubado à Ucrânia.
4/ Os fundos iniciais para lançar o hack são retirados de @SynapseProtocol e a maior parte dos ganhos resultantes são depositados para @TornadoCash Actualmente, 15.154 ETH ainda permanecem na conta do hacker. Note-se que o hacker doa 250k USDC para a Ucrânia Donativo Crypto. pic.twitter.com/jBjUJ0JbGj
– PeckShield Inc. (@peckshield) 17 de Abril de 2022
Explorações de empréstimo flash são comuns
Beanstalk Farms’ exploit não é a primeira vez que os atacantes exploram empréstimos relâmpago. De acordo com o resumo de ataque publicado no servidor do Beanstalk Discord, a exploração aconteceu porque o Beanstalk falhou:
“usar uma medida resistente a empréstimos flash para determinar a % de Stalk que votou a favor do BIP “
1/5
O novo protocolo popular @beanstalkfarms perdeu $181M+ na exploração de hoje, mas o atacante só ganhou $76M.
Vamos descobrir o que happened pic.twitter.com/sRjzAF8stE
– Igor Igamberdiev (@FrankResearcher) 17 de Abril de 2022
A empresa de segurança da cadeia de bloqueio responsável pela auditoria dos contratos inteligentes da Beanstalk, Omnicia, disse que a Beanstalk lançou o código com a vulnerabilidade do empréstimo flash após a sua auditoria. Acrescentou numa análise pós-morte do ataque que ainda não tinha auditado o código explorado.
Dada a prevalência de explorações de empréstimos flash no espaço DeFi, é surpreendente que a Beanstalk tenha introduzido o código sem a devida auditoria.
Além disso, existem preocupações sobre se o protocolo irá reembolsar os utilizadores. A Beanstalk Farms disse que fornecerá mais actualizações na sua próxima reunião da câmara municipal.
O hack surge apenas algumas semanas após uma exploração de uma ponte Ronin ter perdido mais de 600 milhões de dólares no Axie Infinity em Março.
Entretanto, a utilização do Tornado Cash pelos hackers deu lugar a críticas pela sua falta de esforço na prevenção da fraude. O misturador ETH disse recentemente que está a utilizar o contrato Chainanalysis Oracle para bloquear endereços sancionados pelo Office of Foreign Assets Control (OFAC) de utilizar os seus serviços.
Tornado Cash usa @chainalysis contrato de oráculo para bloquear o acesso ao dapp por parte do OFAC a endereços sancionados pelo OFAC.
A manutenção da privacidade financeira é essencial para preservar a nossa liberdade, contudo, não deve ser feita à custa do não cumprimento.– ️ Tornado.cash ️ (@TornadoCash) 15 de Abril de 2022
