- Beanstalk-protokollan päivityksiä tuettiin Beanstalk Improvement Proposal (BIP) -hallintaprosessin kautta, ja sen seurauksena päivitys saattoi suorittaa mielivaltaisen koodin, jonka avulla hyökkääjä voi kerätä lukitun rahansa osana haitallista päivitystä. Omniscia kirjoitti seuraavan.
- Syyllinen Omniscian mukaan oli flash-luottoihin altis hallintoongelma, joka antoi hyökkääjälle mahdollisuuden ehdottaa ja sitten toteuttaa vihamielistä hallintoehdotusta, joka siirsi käytännössä kaikki protokollan varat hyökkääjän lompakkoon.
- Järjestö ilmoitti hakkeroinnista Twitterissä sunnuntaina ja etsii nyt ratkaisua. Beanstalk oli äskettäin ylittänyt merkittävän virstanpylvään tuottaen 100 miljoonaa dollaria BEAN-tokeneina.
Beanstalk Farms, jota kutsuttiin hajautetuksi lainapohjaiseksi stablecoin-alustaksi, hakkeroitiin noin 180 miljoonalla dollarilla paperitappioina sunnuntaina, vuoden viimeinen DeFi-rikkomus. Tämä on kuudenneksi suurin tukkihyökkäys suorassa tulostaulukossa ja toiseksi suurin tänä vuonna maaliskuussa tehdyn jättimäisen Ronin Bridge -hyökkäyksen jälkeen. PeckShield, turvallisuusyritys, oli ensimmäinen, joka rikkoi tarinan. Suurin osa varastetusta rahasta on eetteriä, jonka hyökkääjä laittoi nopeasti Tornado Cash -tietosuojaprotokollaan piilottaakseen rahakkeiden alkuperän, kuten Ronin-hakkerointi.
Innovatiivinen taloudellisten kannustimien järjestelmä
Järjestö ilmoitti hakkeroinnista Twitterissä sunnuntaina ja etsii nyt ratkaisua. Beanstalk oli äskettäin ylittänyt merkittävän virstanpylvään tuottaen 100 miljoonaa dollaria BEAN-tokeneina. Beanstalk suunniteltiin sidottavaksi Yhdysvaltain dollariin, mutta toisin kuin fiat- tai kryptovakuutuksella taatut vakaat kolikot, se käytti innovatiivista taloudellista kannustinjärjestelmää pitääkseen kiinnityksensä, luottaen lainoihin eikä ylivakuutuksiin. Paperi, jonka väri on valkoinen.
Protokollan auditoivat lohkoketjun tietoturvaasiantuntijat Omniscia, mutta yritys ilmoitti Post Mortem Analysis -analyysissä, että haavoittuvuuden aiheuttama tuotantokoodi ei ollut sama kuin se, jonka he olivat vahvistaneet. Sunnuntaina pidetyssä suorassa kaupunkikokouksessa kehittäjät kiistivät tämän väitteen.
Vihamielinen hallintoehdotus
Emme ole tekemisissä sormien heittelyllä, pääkehittäjä selitti, mutta katsoimme heidän julkaisemaansa raporttia emmekä uskoneet, että se oli oikea kuvaus tapahtuneesta. Syyllinen Omniscian mukaan oli flash-luottoihin altis hallintoongelma, joka antoi hyökkääjälle mahdollisuuden ehdottaa ja sitten toteuttaa vihamielistä hallintoehdotusta, joka siirsi käytännössä kaikki protokollan varat hyökkääjän lompakkoon.
Temppu oli käyttää jättimäistä pikalainaa – lainaamalla suuria summia, jotka oli maksettava takaisin yhdellä transaktiolla – sen sijaan, että kävisivät läpi normaalin hallintoehdotuksen elinkaaren. Käyttämällä 1.04 miljardia dollaria lainattuja vakaita kolikoita, hyökkääjä sai hetkeksi superenemmistön protokollan äänioikeuksista, mikä mahdollisti haitallisen koodin suorittamisen nopeasti. Beanstalk-protokollan päivityksiä tuettiin Beanstalk Improvement Proposal (BIP) -hallintaprosessin kautta, ja sen seurauksena päivitys saattoi suorittaa mielivaltaisen koodin, jonka avulla hyökkääjä voi kerätä lukitun rahansa osana haitallista päivitystä. Omniscia kirjoitti seuraavan.
Lähde: https://www.thecoinrepublic.com/2022/04/24/the-beanstalk-of-the-algo-stablecoin-network-has-been-dramatically-cut-due-to-such-a-governing- vallata/