DeFi-protokollen Beanstalk Farms tapte over 180 millioner dollar til ondsinnede spillere på grunn av en utnyttelse 17. april som tillot en hacker å vedta et forslag til styresett.
De Ethereum-Basert stablecoin protokollens utnyttelse etterlot flere tokens og så dens US dollar-festede stablecoin fall under $1-merket.
Beanstalk led en utnyttelse i dag.
Beanstalk Farms-teamet etterforsker angrepet og vil gi en kunngjøring til samfunnet så snart som mulig.
— Beanstalk Farms (@BeanstalkFarms) April 17, 2022
Bønneprotokoll utnyttet
Blockchain sikkerhetsselskap PeckShield rapporterte først hacket på Twitter og sa en hacker stjal mer enn 80 millioner dollar ved å utnytte Beanstalk Farms.
1 / The @BeanstalkFarms ble utnyttet i en mengde txs (https://t.co/PMsdP5dnJG og https://t.co/wyHe3ARZgU),
fører til en gevinst på $80+M for hackeren (protokolltapet kan være større), inkludert 24,830 36 ETH og XNUMXM BEAN.- PeckShield Inc. (@peckshield) April 17, 2022
Hackeren brukte flash-lån for å skaffe en stor mengde Beanstalk STALK-tokens, noe som ga dem nok stemmekraft til å vedta et styringsforslag som tappet alle midlene på protokollen inn i hackerens lommebok.
Hackeren betalte deretter tilbake flashlånene fra agjs, Unwap V2, og Sushiwap og konverterte midlene til Wrapped ETH. De stjålne midlene ble deretter sendt gjennom Tornado Cash-mikseren. Hackeren donerte også noe av hans stjålne krypto til Ukraina.
4/ De første midlene for å starte hacket blir trukket fra @SynapseProtocol og mesteparten av resultatgevinsten deponeres til @TornadoCash. For øyeblikket er 15,154 250 ETH fortsatt på hackerens konto. Legg merke til at hackeren donerer XNUMX XNUMX USDC til kryptodonasjon i Ukraina. pic.twitter.com/jBjUJ0JbGj
- PeckShield Inc. (@peckshield) April 17, 2022
Flash-lån er vanlig
Beanstalk Farms' utnyttelse er ikke tførste gang angripere har utnyttet flash-lån. I følge angrepssammendraget som ble lagt ut på Beanstalk Discord-serveren, skjedde utnyttelsen fordi Beanstalk ikke klarte å:
"Bruk et flashlånsbestandig mål for å bestemme prosentandelen av Stalk som hadde stemt for BIP."
1/5
Den nye populære @beanstalkfarms protokollen tapte $181M+ i dagens utnyttelse, men angriperen tjente bare $76M.
La oss finne ut hva som skjedde? pic.twitter.com/sRjzAF8stE
- Igor Igamberdiev (@FrankResearcher) April 17, 2022
Blockchain Security-firmaet som er ansvarlig for å revidere Beanstalk smarte kontrakter, Omnicia, sa at Beanstalk lanserte koden med flashlånsårbarheten etter revisjonen. Det ble lagt til i en postmortem analyse av angrepet at det ennå ikke hadde revidert den utnyttede koden.
Gitt utbredelsen av flash lån utnytter i DeFi-området er det overraskende at Beanstalk introduserte koden uten skikkelig revisjon.
I tillegg er det bekymring for om protokollen vil gi tilbakebetaling til brukere. Beanstalk Farms sa at det vil gi flere oppdateringer på sitt neste rådhusmøte.
Hacket kommer bare noen få uker etter en Ronin-bro-utnyttelse tapt over 600 millioner dollar på Axie Infinity i mars.
I mellomtiden har Tornado Cashs bruk av hackere gitt opphav til kritikk for manglende innsats for å forhindre svindel. TETH-mikseren sa nylig at den bruker Chainanalysis Oracle-kontrakten til blokkere adresser sanksjonert av Office of Foreign Assets Control (OFAC) fra å bruke tjenestene deres.
Tornado Cash bruker @kjedeanalyse oracle-kontrakt for å blokkere OFAC-sanksjonerte adresser fra å få tilgang til dapp.
Å opprettholde økonomisk personvern er avgjørende for å bevare vår frihet, men det bør ikke gå på bekostning av manglende overholdelse.https://t.co/tzZe7bVjZt— ?️ Tornado.cash ?️ (@TornadoCash) April 15, 2022
Kilde: https://cryptoslate.com/defi-protocol-beanstalk-loses-180m-in-exploit-hacker-gains-80m/