DeFi-protokolla Beanstalk Farms menetti yli 180 miljoonaa dollaria pahantahtoisille pelaajille 17. huhtikuuta tehdyn hyväksikäytön vuoksi, jonka seurauksena hakkeri hyväksyi hallintoehdotuksen.
- Ethereum-Pohjainen stablecoin protokollan hyväksikäyttö jätti useita rahakkeita kadoksissa ja näki sen Yhdysvaltain dollariin sidotun vakaan kolikon pudota alle 1 dollarin merkin.
Beanstalk kärsi hyväksikäytöstä tänään.
Beanstalk Farmsin tiimi tutkii hyökkäystä ja ilmoittaa asiasta yhteisölle mahdollisimman pian.
— Beanstalk Farms (@BeanstalkFarms) Huhtikuu 17, 2022
Beans-protokollaa hyödynnetty
Blockchain-turvayhtiö PeckShield ilmoitti hakkeroinnista ensin Twitterissä ja sanoi a hakkeri varasti yli 80 miljoonaa dollaria hyödyntämällä Beanstalk Farmsia.
1 / The @BeanstalkFarms käytettiin hyväksi txs-tulvassa (https://t.co/PMsdP5dnJG ja https://t.co/wyHe3ARZgU),
mikä johtaa $80+M voittoon hakkereille (protokollahäviö voi olla suurempi), mukaan lukien 24,830 36 ETH ja XNUMX M BEAN.- PeckShield Inc. (@peckshield) Huhtikuu 17, 2022
Hakkeri käytti flash-lainoja hankkiakseen suuren määrän Beanstalk STALK -tokeneita, mikä antoi heille tarpeeksi äänivaltaa hyväksyäkseen hallintoehdotuksen, joka tyhjensi kaikki protokollan varat hakkerin lompakkoon.
Hakkeri maksoi sitten takaisin flash-lainat aave, Uniswap V2 ja Sushiwap ja muutti varat Wrapped ETH:ksi. Sen jälkeen varastetut varat lähetettiin Tornado Cash -sekoittimen kautta. Hakkeri lahjoitti myös osan varastetusta kryptostaan Ukrainalle.
4/ Alkuvarat hakkeroinnin käynnistämiseen poistetaan @SynapseProtocol ja suurin osa tulosvoitoista talletetaan @TornadoCash. Tällä hetkellä 15,154 250 ETH:ta on edelleen hakkerin tilillä. Huomaa, että hakkeri lahjoittaa XNUMX XNUMX USDC Ukrainan kryptolahjoitukseen. pic.twitter.com/jBjUJ0JbGj
- PeckShield Inc. (@peckshield) Huhtikuu 17, 2022
Flash-lainan hyväksikäytöt ovat yleisiä
Beanstalk Farmsin hyväksikäyttö ei ole tHän ensimmäistä kertaa hyökkääjät ovat hyödyntäneet flash-lainoja. Beanstalk Discord -palvelimelle lähetetyn hyökkäysyhteenvedon mukaan hyväksikäyttö tapahtui, koska Beanstalk epäonnistui:
"Käytä pikalainaresistenttiä mittaa määrittääksesi prosenttiosuuden Stalkista, joka äänesti BIP:n puolesta."
1/5
Uusi suosittu @pavunvarsifarms protokolla menetti yli 181 miljoonaa dollaria tämän päivän hyväksikäytössä, mutta hyökkääjä sai vain 76 miljoonaa dollaria.
Selvitetään mitä tapahtui? pic.twitter.com/sRjzAF8stE
- Igor Igamberdiev (@FrankResearcher) Huhtikuu 17, 2022
Beanstalkin älykkäiden sopimusten auditoinnista vastaava lohkoketjuturvayritys Omnicia sanoi, että Beanstalk julkaisi koodin flash-lainahaavoittuvuudella tarkastuksensa jälkeen. Se lisäsi a post mortem -analyysi hyökkäyksestä, että se ei ollut vielä tarkastanut hyödynnettyä koodia.
Kun otetaan huomioon esiintyvyys flash-lainat hyödyntää DeFi-tilassa on yllättävää, että Beanstalk esitteli koodin ilman asianmukaista auditointia.
Lisäksi ollaan huolissaan siitä, korvaako protokolla käyttäjille. Beanstalk Farms sanoi, että se antaa lisää päivityksiä seuraavassa kaupungintalon kokouksessa.
Hakkerointi tapahtuu vain muutama viikko Ronin-sillan hyväksikäytön jälkeen hukassa 600 miljoonaa dollaria Axie Infinityssä maaliskuussa.
Samaan aikaan Tornado Cashin käyttö hakkereissa on herättänyt kritiikkiä sen puutteesta petosten estämiseksi. THän ETH mikseri sanoi äskettäin, että se käyttää Chainanalysis Oracle sopimusta lohko osoitteet, joita Office of Foreign Asset Control (OFAC) on määrännyt käyttämästä palveluitaan.
Tornado Cash käyttö @chainalysis Oracle-sopimus estää OFAC:n sallimia osoitteita pääsemästä dappiin.
Taloudellisen yksityisyyden säilyttäminen on välttämätöntä vapautemme säilyttämiseksi, mutta sen ei pitäisi tapahtua noudattamatta jättämisen kustannuksella.https://t.co/tzZe7bVjZt— ?️ Tornado.cash ?️ (@TornadoCash) Huhtikuu 15, 2022
Lähde: https://cryptoslate.com/defi-protocol-beanstalk-loses-180m-in-exploit-hacker-gains-80m/