Протокол DeFi Beanstalk Farms потерял более 180 миллионов долларов из-за злоумышленников 17 апреля из-за эксплойта, который позволил хакеру передать предложение по управлению.
Эксплойт протокола стейблкоина на основе Ethereum привел к тому, что несколько токенов пропали без вести, и его стейблкоин, привязанный к доллару США, упал ниже отметки в 1 доллар.
Сегодня Beanstalk подвергся эксплойту.
Команда Beanstalk Farms расследует атаку и как можно скорее сообщит об этом сообществу.
— Beanstalk Farms (@BeanstalkFarms) 17 апреля 2022 г.
Использован протокол Beans
Компания по обеспечению безопасности блокчейна PeckShield впервые сообщила о взломе в Твиттере и заявила, что хакер украл более 80 миллионов долларов, используя Beanstalk Farms.
1/ @BeanstalkFarms был использован во множестве транзакций (https://t.co/PMsdP5dnJG и https://t.co/wyHe3ARZgU),
что привело к выигрышу хакера в размере 80+ миллионов долларов (потеря протокола может быть больше), включая 24 830 ETH и 36 миллионов BEAN.— PeckShield Inc. (@peckshield) 17 апреля 2022 г.
Хакер использовал флэш-кредиты, чтобы получить большое количество токенов Beanstalk STALK, что дало им достаточно права голоса, чтобы принять предложение по управлению, которое истощило все средства по протоколу в кошелек хакера.
Затем хакер вернул флэш-кредиты от Aave, Uniswap V2 и SushiSwap и конвертировал средства в Wrapped ETH. Затем украденные средства были отправлены через миксер Tornado Cash. Хакер также пожертвовал часть своей украденной криптовалюты Украине.
4/ Первоначальные средства для запуска взлома выводятся из @SynapseProtocol, а большая часть полученной прибыли переводится в @TornadoCash. В настоящее время на счету хакера остается 15 154 ETH. Обратите внимание, что хакер пожертвовал 250 тысяч долларов США на Ukraine Crypto Donation. pic.Twitter.com/jBjUJ0JbGj
— PeckShield Inc. (@peckshield) 17 апреля 2022 г.
Эксплойты с флэш-кредитами распространены
Эксплойт Beanstalk Farms — не первый случай, когда злоумышленники используют флэш-кредиты. Согласно отчету об атаке, размещенному на сервере Beanstalk Discord, эксплойт произошел из-за того, что Beanstalk не смог:
«используйте меру сопротивления мгновенному кредиту, чтобы определить% Stalk, проголосовавшего за BIP».
1/5
Новый популярный протокол @beanstalkfarms потерял более 181 млн долларов в результате сегодняшнего эксплойта, но злоумышленник получил только 76 млн долларов.
Давайте разберемся, что произошло👇 pic.twitter.com/sRjzAF8stE
— Игорь Игамбердиев (@FrankResearcher) 17 апреля 2022 г.
Omnicia, фирма по обеспечению безопасности блокчейна, отвечающая за аудит смарт-контрактов Beanstalk, заявила, что Beanstalk запустила код с уязвимостью флэш-кредита после аудита. В последующем анализе атаки компания добавила, что еще не проводила аудит эксплуатируемого кода.
Учитывая распространенность эксплойтов флэш-кредитов в пространстве DeFi, удивительно, что Beanstalk представил код без надлежащего аудита.
Кроме того, есть опасения по поводу того, возместит ли протокол пользователям затраты. Beanstalk Farms заявила, что представит больше обновлений на своем следующем собрании в мэрии.
Взлом произошел всего через несколько недель после того, как эксплойт Ronin bridge потерял более 600 миллионов долларов на Axie Infinity в марте.
Между тем, использование Tornado Cash хакерами вызвало критику за отсутствие усилий по предотвращению мошенничества. Смеситель ETH недавно заявил, что использует контракт Oracle Chainanalysis, чтобы заблокировать адреса, санкционированные Управлением по контролю за иностранными активами (OFAC), от использования его услуг.
Tornado Cash использует контракт оракула @Chainalysis, чтобы заблокировать адреса, санкционированные OFAC, от доступа к децентрализованному приложению.
Сохранение финансовой конфиденциальности необходимо для сохранения нашей свободы, однако это не должно происходить за счет несоблюдения требований. https://t.co/tzZe7bVjZt— 🌪️ Tornado.cash 🌪️ (@TornadoCash) 15 апреля 2022 г.
Олувапелуми верит в преобразующую силу Биткойна и индустрии блокчейнов.
