Il protocollo DeFi Beanstalk Farms ha perso oltre $ 180 milioni a causa di giocatori malintenzionati a causa di un exploit il 17 aprile che ha consentito a un hacker di approvare una proposta di governance.
I Ethereum-based stablecoin L'exploit del protocollo ha lasciato diversi token mancanti e ha visto la sua stablecoin ancorata al dollaro USA scendi sotto il segno di $ 1.
Beanstalk ha subito un exploit oggi.
Il team di Beanstalk Farms sta indagando sull'attacco e farà un annuncio alla community il prima possibile.
— Fattorie Beanstalk (@BeanstalkFarms) 17 aprile 2022
Protocollo Beans sfruttato
Azienda di sicurezza blockchain becco ha segnalato per la prima volta l'hacking su Twitter e ha detto a hacker ha rubato più di $ 80 milioni sfruttando Beanstalk Farms.
1 / The @BeanstalkFarms è stato sfruttato in una raffica di txs (https://t.co/PMsdP5dnJG ed https://t.co/wyHe3ARZgU),
portando a un guadagno di $ 80+M per l'hacker (la perdita del protocollo potrebbe essere maggiore), inclusi 24,830 ETH e 36M BEAN.- PeckShield Inc. (@peckshield) 17 aprile 2022
L'hacker ha utilizzato prestiti flash per ottenere una grande quantità di token Beanstalk STALK, che ha dato loro un potere di voto sufficiente per approvare una proposta di governance che ha prosciugato tutti i fondi del protocollo nel portafoglio dell'hacker.
L'hacker ha quindi rimborsato i prestiti flash AAVE, Uniswap V2, e Sushiwap e convertito i fondi in Wrapped ETH. I fondi rubati sono stati quindi inviati tramite il mixer Tornado Cash. L'hacker ha anche donato parte delle sue criptovalute rubate all'Ucraina.
4/ Vengono prelevati i fondi iniziali per lanciare l'hack @Protocollo Synapse e la maggior parte dei guadagni dei risultati vengono depositati @TornadoCash. Attualmente 15,154 ETH rimangono ancora nell'account dell'hacker. Nota che l'hacker dona 250 USDC all'Ucraina Crypto Donation. pic.twitter.com/jBjUJ0JbGj
- PeckShield Inc. (@peckshield) 17 aprile 2022
Gli exploit di prestito flash sono comuni
L'exploit di Beanstalk Farms non è tGli attaccanti per la prima volta hanno sfruttato i prestiti flash. Secondo il riepilogo dell'attacco pubblicato sul server Beanstalk Discord, l'exploit è avvenuto perché Beanstalk non è riuscito a:
"utilizzare una misura di resistenza al prestito lampo per determinare la % di Stalk che aveva votato a favore del BIP".
1/5
Il nuovo popolare @beanstalkfarms Il protocollo ha perso oltre $ 181 milioni nell'exploit di oggi, ma l'attaccante ha guadagnato solo $ 76 milioni.
Scopriamo cosa è successo? pic.twitter.com/sRjzAF8stE
- Igor Igamberdiev (@FrankResearcher) 17 aprile 2022
La società di sicurezza blockchain responsabile dell'audit dei contratti intelligenti Beanstalk, Omnicia, ha affermato che Beanstalk ha lanciato il codice con la vulnerabilità del prestito flash dopo il suo audit. Ha aggiunto in a analisi post mortem dell'attacco che non aveva ancora controllato il codice sfruttato.
Data la prevalenza di exploit prestiti flash nello spazio DeFi, è sorprendente che Beanstalk abbia introdotto il codice senza un controllo adeguato.
Inoltre, ci sono dubbi sul fatto che il protocollo rimborserà gli utenti. Beanstalk Farms ha dichiarato che fornirà ulteriori aggiornamenti alla prossima riunione del municipio.
L'hacking arriva solo poche settimane dopo un exploit del ponte Ronin perso $ 600 milioni su Axie Infinity a marzo.
Nel frattempo, l'uso di Tornado Cash da parte degli hacker ha suscitato critiche per la sua mancanza di impegno nella prevenzione delle frodi. TIl mixer ETH ha recentemente affermato che sta utilizzando il contratto Chainanalysis Oracle per bloccare indirizzi sanzionati dall'Office of Foreign Assets Control (OFAC) dall'utilizzo dei suoi servizi.
Tornado Cash utilizza @analisi della catena contratto oracle per bloccare l'accesso alla dapp agli indirizzi sanzionati dall'OFAC.
Mantenere la privacy finanziaria è essenziale per preservare la nostra libertà, tuttavia, non dovrebbe andare a scapito della non conformità.https://t.co/tzZe7bVjZt— ?️ Tornado.cash ?️ (@TornadoCash) 15 aprile 2022
Fonte: https://cryptoslate.com/defi-protocol-beanstalk-loses-180m-in-exploit-hacker-gains-80m/