Protokół DeFi Beanstalk Farms stracił ponad 180 milionów dolarów na rzecz złośliwych graczy z powodu exploita z 17 kwietnia, który umożliwił hakerowi przyjęcie propozycji zarządzania.
Połączenia EthereumOparte stablecoin exploit protokołu spowodował brak kilku tokenów i zobaczył jego stablecoina powiązanego z dolarem amerykańskim spadnie poniżej poziomu 1 dolara.
Beanstalk doznał dziś wyczynu.
Zespół Beanstalk Farms bada atak i jak najszybciej ogłosi to społeczności.
— Farmy Fasoli (@Farmy Fasoli) 17 kwietnia 2022 r.
Wykorzystano protokół fasoli
Firma ochroniarska Blockchain Tarcza Pecka jako pierwszy zgłosił włamanie na Twitterze i powiedział a haker ukradł ponad 80 milionów dolarów, wykorzystując Beanstalk Farms.
1 / The @BeandstalkFarms. został wykorzystany w lawinie wiadomości tekstowych (https://t.co/PMsdP5dnJG i https://t.co/wyHe3ARZgU),
co prowadzi do zysku dla hakera w wysokości 80 + mln USD (strata protokołu może być większa), w tym 24,830 36 ETH i XNUMX mln BEAN.- PeckShield Inc. (@peckshield) 17 kwietnia 2022 r.
Haker wykorzystał pożyczki błyskawiczne, aby uzyskać dużą liczbę tokenów Beanstalk STALK, co dało im wystarczającą siłę głosu, aby przyjąć propozycję zarządzania, która odprowadzała wszystkie środki z protokołu do portfela hakera.
Następnie haker spłacił pożyczki błyskawiczne od Aave, Uniswap V2 i Sushiwap i zamienił środki na Wrapped ETH. Skradzione środki zostały następnie przesłane przez mikser Tornado Cash. Haker przekazał również Ukrainie część swoich skradzionych kryptowalut.
4/ Początkowe środki na uruchomienie hacka zostają wycofane @Protokół Synapse i większość zysków z wyniku jest deponowana @TornadoCash. Obecnie na koncie hakera wciąż pozostaje 15,154 250 ETH. Zauważ, że haker przekazuje XNUMX XNUMX USDC na Ukrainie Crypto Donation. pic.twitter.com/jBjUJ0JbGj
- PeckShield Inc. (@peckshield) 17 kwietnia 2022 r.
Exploity związane z pożyczkami flash są powszechne
Exploit Beanstalk Farms nie jest tpo raz pierwszy osoby atakujące wykorzystały pożyczki błyskawiczne. Zgodnie z podsumowaniem ataku opublikowanym na serwerze Beanstalk Discord, exploit miał miejsce, ponieważ Beanstalk nie:
„użyj środka odpornego na pożyczki błyskawiczne, aby określić procent Stalk, który głosował za BIP”.
1/5
Nowy popularny @beanstalkfarmy protokół stracił ponad 181 mln USD w dzisiejszym exploicie, ale atakujący zyskał tylko 76 mln USD.
Dowiedzmy się, co się stało? pic.twitter.com/sRjzAF8stE
- Igor Igamberdiev (@FrankResearcher) 17 kwietnia 2022 r.
Firma Blockchain Security odpowiedzialna za audyt inteligentnych kontraktów Beanstalk, Omnicia, powiedziała, że Beanstalk uruchomił kod z luką w zabezpieczeniach pożyczki flash po audycie. Dodał w a analiza pośmiertna ataku, że nie przeprowadziła jeszcze audytu wykorzystywanego kodu.
Biorąc pod uwagę występowanie exploity związane z pożyczkami flash w przestrzeni DeFi zaskakujące jest to, że Beanstalk wprowadził kod bez odpowiedniego audytu.
Ponadto istnieją obawy, czy protokół zwróci użytkownikom koszty. Beanstalk Farms powiedział, że dostarczy więcej aktualizacji na następnym spotkaniu w ratuszu.
Hack pojawia się zaledwie kilka tygodni po exploicie mostu Ronin przegrałem 600 milionów dolarów na Axie Infinity w marcu.
Tymczasem wykorzystanie Tornado Cash przez hakerów wywołało krytykę za brak wysiłków w zapobieganiu oszustwom. TMikser ETH niedawno powiedział, że korzysta z kontraktu Chainanalysis Oracle blok adresy usankcjonowane przez Urząd Kontroli Aktywów Zagranicznych (OFAC) za korzystanie z jego usług.
Używa Tornado Cash @analizałańcuchowa umowa Oracle, aby zablokować dostęp do dapp adresom sankcjonowanym przez OFAC.
Zachowanie prywatności finansowej jest niezbędne do zachowania naszej wolności, jednak nie powinno odbywać się kosztem braku zgodności.https://t.co/tzZe7bVjZt— ?️ Tornado.cash?️ (@TornadoCash) 15 kwietnia 2022 r.
Źródło: https://cryptoslate.com/defi-protocol-beanstalk-loses-180m-in-exploit-hacker-gains-80m/