DeFi协议Beanstalk证实,昨天通过闪电贷款攻击被黑掉了超过1800亿美元。
DeFi协议Beanstalk Farms由于4月17日的漏洞,让黑客通过治理方案,损失了超过1.8亿美元的资金。
这个基于以太坊的稳定币协议的漏洞使几个代币丢失,并看到其与美元挂钩的稳定币跌破1美元大关。
Beanstalk今天遭遇了一次漏洞。
豆茎农场团队正在调查这次攻击,并将尽快向社区公布。
-豆茎农场(@BeanstalkFarms) April 17, 2022
Beans协议被利用
区块链安全公司PeckShield首先在Twitter上报告了这一黑客事件,并称一名黑客通过利用Beanstalk Farms.
盗取了超过8000万美元的资金。
1/ @BeanstalkFarms在一连串的txs(https://t.co/PMsdP5dnJG 和 https://t.co/wyHe3ARZgU)中被利用。
– PeckShield Inc. (@peckshield) April 17, 2022
黑客利用闪电贷款获得了大量的Beanstalk STALK代币,这让他们有足够的投票权来通过一项治理提案,将协议上的所有资金都抽走,进入黑客的钱包。
然后,黑客偿还了Aave、Uniswap V2和Sushiswap的闪电贷款,并将这些资金转换为Wrapped ETH。被盗资金随后通过龙卷风现金混合器发送。该黑客还将他偷来的一些加密货币捐赠给乌克兰。
4/发起黑客攻击的初始资金从@SynapseProtocol提取,大部分结果收益被存入@TornadoCash。目前,15154个ETH仍留在黑客的账户中。请注意,黑客向乌克兰加密货币捐赠了25万USDC。pic.twitter.com/jBjUJ0JbGj
– PeckShield Inc. (@peckshield) April 17, 2022
Flash贷款的漏洞很常见
Beanstalk Farms的漏洞并不是攻击者第一次利用闪存贷款。根据Beanstalk Discord服务器上发布的攻击摘要,该漏洞的发生是因为Beanstalk未能:
“使用抵制闪电贷款的措施来确定投票赞成BIP的Stalk的百分比。”
“。
1/5
新流行的@beanstalkfarms协议在今天的利用中损失了1.81亿美元以上,但攻击者只获得了7600万美元。
让我们弄清楚发生了什么pic.twitter.com/sRjzAF8stE
– Igor Igamberdiev (@FrankResearcher) April 17, 2022
负责审计Beanstalk智能合约的区块链安全公司Omnicia表示,Beanstalk在审计后推出了带有闪贷漏洞的代码。它在对攻击的事后分析中补充说,它还没有审计过被利用的代码。
鉴于闪电贷款漏洞在DeFi领域的普遍性,Beanstalk在没有适当审计的情况下推出代码是令人惊讶的。
此外,人们还担心该协议是否会给用户报销。Beanstalk Farms表示,它将在下一次全体会议上提供更多的更新信息。
这次黑客攻击发生在3月份Ronin桥的漏洞在Axie Infinity上损失超过6亿美元之后仅几周。
同时,龙卷风现金被黑客利用,引起了对其在防止欺诈方面缺乏努力的批评。ETH混合器最近表示,它正在使用Chainanalysis Oracle合同来阻止被外国资产控制办公室(OFAC)制裁的地址使用其服务。
Tornado Cash使用@chainanalysis oracle合同来阻止OFAC制裁的地址访问dapp。
维护金融隐私对维护我们的自由至关重要,然而,它不应该以不合规为代价。https://t.co/tzZe7bVjZt– ️ Tornado.cash ️(@TornadoCash) April 15, 2022