Протоколът DeFi Beanstalk Farms загуби над 180 милиона долара от злонамерени играчи поради експлойт на 17 април, който позволи на хакер да премине предложение за управление.
- Ethereum-базиран stablecoin експлоата на протокола остави няколко токена липсващи и видя неговата обвързана с щатски долари стабилна монета падне под марката от $1.
Beanstalk претърпя експлоатиране днес.
Екипът на Beanstalk Farms разследва атаката и ще направи съобщение до общността възможно най-скоро.
— Ферми за бобови стъбла (@BeanstalkFarms) Април 17, 2022
Протоколът за фасул е експлоатиран
Блокчейн компания за сигурност PeckShield първо съобщи за хака в Twitter и каза a хакер открадна повече от 80 милиона долара, като използва Beanstalk Farms.
1 / The @BeanstalkFarms беше експлоатиран в поток от txs (https://t.co/PMsdP5dnJG намлява https://t.co/wyHe3ARZgU),
което води до печалба от $80+M за хакера (загубата на протокола може да е по-голяма), включително 24,830 ETH и 36M BEAN.- PeckShield Inc. (@peckshield) Април 17, 2022
Хакерът използва флаш заеми, за да получи голямо количество токени Beanstalk STALK, което им даде достатъчно право на глас, за да прокарат предложение за управление, което източи всички средства по протокола в портфейла на хакера.
След това хакерът изплати флаш заемите от Aave, Отменете V2 и Сушип и конвертира средствата в Wrapped ETH. След това откраднатите средства бяха изпратени през смесителя Tornado Cash. Хакерът също така дари част от откраднатите си крипто на Украйна.
4/ Първоначалните средства за стартиране на хака са изтеглени @SynapseProtocol и повечето от печалбите от резултата се депозират в @TornadoCash. В момента 15,154 250 ETH все още остават в акаунта на хакера. Обърнете внимание, че хакерът дарява XNUMX XNUMX USDC на Украйна Crypto Donation. pic.twitter.com/jBjUJ0JbGj
- PeckShield Inc. (@peckshield) Април 17, 2022
Експлойтите с флаш заеми са често срещани
Подвизата на Beanstalk Farms не е tза първи път нападателите са използвали бързи заеми. Според обобщението на атаката, публикувано на сървъра на Beanstalk Discord, експлойтът се е случил, защото Beanstalk не е успял:
„използвайте мярка, устойчива на бързи заеми, за да определите процента на Stalk, който е гласувал в полза на BIP.“
1/5
Новият популярен @beanstalkfarms протоколът загуби $181 милиона+ в днешния експлойт, но нападателят спечели само $76 милиона.
Нека да разберем какво се е случило? pic.twitter.com/sRjzAF8stE
- Игор Игамбердиев (@FrankResearcher) Април 17, 2022
Фирмата за блокчейн сигурност, отговорна за одита на интелигентните договори на Beanstalk, Omnicia, каза, че Beanstalk е пуснал кода с уязвимостта на флаш заем след одита му. Добавя се в а анализ след смъртта на атаката, че все още не е одитирал експлоатирания код.
Предвид разпространението на експлоати с флаш заеми в пространството на DeFi е изненадващо, че Beanstalk въведе кода без подходящ одит.
Освен това има опасения дали протоколът ще възстанови разходите на потребителите. Beanstalk Farms заяви, че ще предостави повече актуализации на следващата си среща в кметството.
Хакът идва само няколко седмици след експлоатация на моста на Ronin изгубен 600 милиона долара за Axie Infinity през март.
Междувременно използването на Tornado Cash от хакери предизвика критики за липсата на усилия за предотвратяване на измами. тмиксерът на ETH наскоро каза, че използва договора на Chainanalysis Oracle за блок адреси, санкционирани от Службата за контрол на чуждестранните активи (OFAC) от използване на услугите му.
Торнадо Кеш използва @chainlysis договор на oracle за блокиране на санкционирани адреси на OFAC от достъп до dapp.
Поддържането на финансова поверителност е от съществено значение за запазването на нашата свобода, но не трябва да идва с цената на неспазване.https://t.co/tzZe7bVjZt— ?️ Tornado.cash ?️ (@TornadoCash) Април 15, 2022
Източник: https://cryptoslate.com/defi-protocol-beanstalk-loses-180m-in-exploit-hacker-gains-80m/