Beanstalk, DeFi протокол, подтвердил, что вчера он был взломан на сумму более $180 млрд через атаку флэш-кредитов.
DeFi протокол Beanstalk Farms потерял более 180 миллионов долларов из-за эксплойта 17 апреля, который позволил хакеру передать предложение по управлению.
В результате атаки злоумышленников пропало несколько токенов, а курс стабильного токена, привязанного к доллару США, упал ниже отметки в 1 доллар.
Beanstalk сегодня пострадал от эксплойта.
Команда Beanstalk Farms расследует атаку и сделает объявление для сообщества как можно скорее.
— Beanstalk Farms (@BeanstalkFarms) Апрель 17, 2022
Эксплуатация протокола Beans
Компания PeckShield, занимающаяся безопасностью блокчейна, впервые сообщила о взломе в Twitter и заявила, что хакер украл более 80 миллионов долларов, используя Beanstalk Farms.
1/ @BeanstalkFarms был использован в шквале тксов (https://t.co/PMsdP5dnJG и https://t.co/wyHe3ARZgU),
что привело к выигрышу $80+M для хакера (потери протокола могут быть больше), включая 24,830 ETH и 36M BEAN.— PeckShield Inc. (@peckshield) Апрель 17, 2022
Хакер использовал флэш-кредиты для получения большого количества токенов Beanstalk STALK, что дало ему достаточно голосов для принятия предложения по управлению, которое вывело все средства протокола на кошелек хакера.
Затем хакер вернул флэш-кредиты Aave, Uniswap V2 и Sushiswap и конвертировал средства в Wrapped ETH. Затем украденные средства были отправлены через миксер Tornado Cash. Хакер также пожертвовал часть украденной криптовалюты Украине.
4/ Первоначальные средства для запуска взлома были выведены из @SynapseProtocol, а большая часть полученной прибыли зачислена на @TornadoCash В настоящее время 15 154 ETH все еще остаются на счету хакера. Обратите внимание, что хакер пожертвовал 250 тыс. USDC в крипто-фонд Украины. pic.twitter.com/jBjUJ0JbGj
— PeckShield Inc. (@peckshield) Апрель 17, 2022
Эксплуатация флэш-кредитов — обычное дело
Эксплойт компании Beanstalk Farms — не первый случай, когда злоумышленники используют флэш-кредиты. Согласно резюме атаки, опубликованному на сервере Beanstalk Discord, эксплойт произошел потому, что Beanstalk не смог:
«использовать флэш-кредиты».
«использовать меру сопротивления флэш-кредитам для определения % Stalk, проголосовавших за BIP. «
1/5
Новый популярный протокол @beanstalkfarms потерял $181M+ в сегодняшнем эксплойте, но атакующий получил только $76M.
Давайте разберемся, что произошло pic.twitter.com/sRjzAF8stE
— Игорь Игамбердиев (@FrankResearcher) Апрель 17, 2022
Компания Omnicia, ответственная за аудит смарт-контрактов Beanstalk, заявила, что Beanstalk запустила код с уязвимостью флэш-кредитования после аудита. В посмертном анализе атаки она добавила, что еще не провела аудит эксплуатируемого кода.
Учитывая распространенность эксплойтов флэш-кредитов в пространстве DeFi, удивительно, что Beanstalk запустил код без надлежащего аудита.
Кроме того, есть опасения по поводу того, будет ли протокол возмещать убытки пользователям. Beanstalk Farms заявила, что предоставит более подробную информацию на следующей встрече в мэрии.
Взлом произошел всего через несколько недель после того, как в марте эксплойт Ronin bridge потерял более 600 миллионов долларов на Axie Infinity.
Между тем, использование Tornado Cash хакерами вызвало критику за отсутствие усилий по предотвращению мошенничества. Миксер ETH недавно заявил, что использует контракт Chainanalysis Oracle для блокировки адресов, находящихся под санкциями Управления по контролю за иностранными активами (OFAC), от использования его услуг.
Tornado Cash использует контракт @chainalysis oracle для блокировки доступа к dapp адресов, находящихся под санкциями OFAC.
Сохранение финансовой конфиденциальности необходимо для сохранения нашей свободы, однако это не должно происходить ценой несоблюдения законов.https://t.co/tzZe7bVjZt— ️ Tornado.cash ️ (@TornadoCash) April 15, 2022