Το πρωτόκολλο DeFi Beanstalk Farms έχασε πάνω από 180 εκατομμύρια δολάρια από κακόβουλους παίκτες λόγω ενός exploit στις 17 Απριλίου που επέτρεψε σε έναν χάκερ να περάσει μια πρόταση διακυβέρνησης.
Η Ethereum-Με βάση σταθερόκοκκο Η εκμετάλλευση του πρωτοκόλλου άφησε πολλά tokens να λείπουν και είδε το stablecoin του συνδεδεμένο με δολάρια ΗΠΑ πέσει κάτω από την ένδειξη $1.
Η Beanstalk υπέστη σήμερα μια εκμετάλλευση.
Η ομάδα Beanstalk Farms ερευνά την επίθεση και θα κάνει μια ανακοίνωση στην κοινότητα το συντομότερο δυνατό.
— Beanstalk Farms (@BeanstalkFarms) Απρίλιος 17, 2022
Το πρωτόκολλο φασολιών έγινε εκμετάλλευση
Εταιρεία ασφάλειας Blockchain PeckShield ανέφερε πρώτα το χακάρισμα στο Twitter και είπε α χάκερ έκλεψε περισσότερα από 80 εκατομμύρια δολάρια εκμεταλλευόμενος την Beanstalk Farms.
1 / Το @BeanstalkFarms αξιοποιήθηκε σε μια καταιγίδα txs (https://t.co/PMsdP5dnJG και https://t.co/wyHe3ARZgU),
που οδηγεί στο κέρδος $80+M για τον χάκερ (Η απώλεια πρωτοκόλλου μπορεί να είναι μεγαλύτερη), συμπεριλαμβανομένων 24,830 ETH και 36 εκατομμυρίων BEAN.- PeckShield Inc. (@peckshield) Απρίλιος 17, 2022
Ο χάκερ χρησιμοποίησε δάνεια flash για να αποκτήσει μια μεγάλη ποσότητα Beanstalk STALK token, τα οποία τους έδωσαν αρκετή δύναμη ψήφου για να περάσουν μια πρόταση διακυβέρνησης που αποστράγγιζε όλα τα κεφάλαια του πρωτοκόλλου στο πορτοφόλι του χάκερ.
Στη συνέχεια, ο χάκερ πλήρωσε τα δάνεια φλας από Aave, Απενεργοποίηση V2, και Ανταλλαγή σούσι και μετέτρεψε τα κεφάλαια σε Wrapped ETH. Στη συνέχεια, τα κλεμμένα χρήματα στάλθηκαν μέσω του αναμίκτη Tornado Cash. Ο χάκερ δώρισε επίσης μέρος της κλεμμένης κρυπτογράφησης του στην Ουκρανία.
4/ Αποσύρονται τα αρχικά κεφάλαια για την έναρξη του hack @SynapseProtocol και τα περισσότερα από τα κέρδη του αποτελέσματος κατατίθενται σε @TornadoCash. Επί του παρόντος, 15,154 ETH παραμένουν στον λογαριασμό του χάκερ. Σημειώστε ότι ο χάκερ δωρίζει 250 χιλιάδες USDC στην Ουκρανία Crypto Donation. pic.twitter.com/jBjUJ0JbGj
- PeckShield Inc. (@peckshield) Απρίλιος 17, 2022
Οι εκμεταλλεύσεις φλας δανείων είναι κοινές
Η εκμετάλλευση της Beanstalk Farms δεν είναι tήταν η πρώτη φορά που οι επιτιθέμενοι εκμεταλλεύτηκαν δάνεια φλας. Σύμφωνα με τη σύνοψη της επίθεσης που δημοσιεύτηκε στον διακομιστή Beanstalk Discord, η εκμετάλλευση συνέβη επειδή το Beanstalk απέτυχε:
"χρησιμοποιήστε ένα μέτρο ανθεκτικό στο δάνειο για να προσδιορίσετε το % του Stalk που ψήφισε υπέρ του BIP."
1/5
Το νέο δημοφιλές @beanstalkfarms Το πρωτόκολλο έχασε $181 εκατομμύρια+ στο σημερινό exploit, αλλά ο εισβολέας κέρδισε μόνο $76 εκατομμύρια.
Ας καταλάβουμε τι έγινε; pic.twitter.com/sRjzAF8stE
- Igor Igamberdiev (@FrankResearcher) Απρίλιος 17, 2022
Η εταιρεία ασφάλειας blockchain που είναι υπεύθυνη για τον έλεγχο των έξυπνων συμβολαίων Beanstalk, Omnicia, είπε ότι η Beanstalk κυκλοφόρησε τον κώδικα με την ευπάθεια του δανείου flash μετά τον έλεγχό της. Προστέθηκε σε α μεταθανάτια ανάλυση της επίθεσης ότι δεν είχε ακόμη ελέγξει τον υπό εκμετάλλευση κώδικα.
Δεδομένης της επικράτησης του αστραπιαία εκμεταλλεύσεις δανείων στον χώρο του DeFi, προκαλεί έκπληξη το γεγονός ότι η Beanstalk παρουσίασε τον κώδικα χωρίς κατάλληλο έλεγχο.
Επιπλέον, υπάρχουν ανησυχίες για το εάν το πρωτόκολλο θα αποζημιώσει τους χρήστες. Η Beanstalk Farms είπε ότι θα παράσχει περισσότερες ενημερώσεις στην επόμενη συνεδρίαση του δημαρχείου της.
Το hack έρχεται μόνο λίγες εβδομάδες μετά την εκμετάλλευση της γέφυρας Ronin χάθηκε 600 εκατομμύρια δολάρια στο Axie Infinity τον Μάρτιο.
Εν τω μεταξύ, η χρήση του Tornado Cash από χάκερ έχει προκαλέσει επικρίσεις για την έλλειψη προσπάθειας για την πρόληψη της απάτης. ΤΟ μείκτης ETH είπε πρόσφατα ότι χρησιμοποιεί το συμβόλαιο Chainanalysis Oracle μπλοκάρουν διευθύνσεις που έχουν επικυρωθεί από το Γραφείο Ελέγχου Ξένων Περιουσιακών Στοιχείων (OFAC) από τη χρήση των υπηρεσιών του.
Χρήσεις μετρητών Tornado @ αλυσίδα συμβόλαιο oracle για τον αποκλεισμό διευθύνσεων που έχουν εγκριθεί από την OFAC από την πρόσβαση στο dapp.
Η διατήρηση του οικονομικού απορρήτου είναι απαραίτητη για τη διατήρηση της ελευθερίας μας, ωστόσο, δεν θα πρέπει να έχει το κόστος της μη συμμόρφωσης.https://t.co/tzZe7bVjZt— ?️ Tornado.cash ?️ (@TornadoCash) Απρίλιος 15, 2022
Πηγή: https://cryptoslate.com/defi-protocol-beanstalk-loses-180m-in-exploit-hacker-gains-80m/