DeFi-protokollet Beanstalk Farms förlorade över 180 miljoner dollar till illvilliga spelare på grund av en exploatering den 17 april som gjorde det möjligt för en hackare att godkänna ett förvaltningsförslag.
Smakämnen Ethereum-Baserade stablecoin protokollets exploatering lämnade flera tokens borta och såg dess US-dollar-bundna stablecoin sjunka under $1-märket.
Beanstalk drabbades av en bedrift idag.
Beanstalk Farms-teamet undersöker attacken och kommer att göra ett tillkännagivande till samhället så snart som möjligt.
— Beanstalk Farms (@BeanstalkFarms) 17 april 2022
Bönans protokoll utnyttjas
Blockchain säkerhetsföretag PeckShield rapporterade först hacket på Twitter och sa en hackare stal mer än 80 miljoner dollar genom att utnyttja Beanstalk Farms.
1 / The @BeanstalkFarms utnyttjades i en uppsjö av txs (https://t.co/PMsdP5dnJG och https://t.co/wyHe3ARZgU),
vilket leder till en vinst på $80+M för hackaren (Protokollförlusten kan vara större), inklusive 24,830 36 ETH och XNUMXM BEAN.- PeckShield Inc. (@peckshield) 17 april 2022
Hackaren använde flashlån för att skaffa en stor mängd Beanstalk STALK-tokens, vilket gav dem tillräckligt med röstkraft för att skicka ett ledningsförslag som dränerade alla medel på protokollet till hackarens plånbok.
Hackaren betalade sedan tillbaka flashlånen från Aave, Ta bort V2, och Sushiwap och konverterade medlen till Wrapped ETH. De stulna medlen skickades sedan genom Tornado Cash-blandaren. Hackaren donerade också en del av hans stulna krypto till Ukraina.
4/ De initiala medlen för att starta hacket dras in från @SynapseProtocol och de flesta av resultatvinsterna sätts in på @TornadoCash. För närvarande finns 15,154 250 ETH kvar på hackarens konto. Observera att hackaren donerar XNUMX XNUMX USDC till Ukrainas kryptodonation. pic.twitter.com/jBjUJ0JbGj
- PeckShield Inc. (@peckshield) 17 april 2022
Blixtlån är vanliga
Beanstalk Farms utnyttjande är inte than första gången angripare har utnyttjat flashlån. Enligt attacksammanfattningen som publicerats på Beanstalk Discord-servern skedde utnyttjandet eftersom Beanstalk inte lyckades:
"använd ett mått som är motståndskraftigt mot blixtlån för att bestämma procentandelen av Stalk som hade röstat för BIP."
1/5
Den nya populära @beanstalkfarms protokollet förlorade $181M+ i dagens utnyttjande, men angriparen fick bara $76M.
Låt oss ta reda på vad som hände? pic.twitter.com/sRjzAF8stE
- Igor Igamberdiev (@FrankResearcher) 17 april 2022
Blockchain Security-företaget som ansvarar för granskning av Beanstalks smarta kontrakt, Omnicia, sa att Beanstalk lanserade koden med sårbarheten för flashlån efter granskningen. Det lades till i en obduktionsanalys av attacken att den ännu inte hade granskat den utnyttjade koden.
Med tanke på förekomsten av flash lån exploater i DeFi-utrymmet är det förvånande att Beanstalk introducerade koden utan ordentlig granskning.
Dessutom finns det farhågor om huruvida protokollet kommer att ersätta användare. Beanstalk Farms sa att det kommer att ge fler uppdateringar vid sitt nästa rådhusmöte.
Hacket kommer bara några veckor efter en Ronin bridge exploatering förlorat över 600 miljoner dollar på Axie Infinity i mars.
Samtidigt har Tornado Cashs användning av hackare gett upphov till kritik för dess bristande ansträngning för att förhindra bedrägerier. THan ETH-mixer sa nyligen att den använder Chainanalysis Oracle-kontraktet för att blockera adresser som sanktionerats av Office of Foreign Assets Control (OFAC) från att använda dess tjänster.
Tornado Cash använder @kedjeanalys oracle-kontrakt för att blockera OFAC-sanktionerade adresser från att komma åt dapp.
Att upprätthålla ekonomisk integritet är avgörande för att bevara vår frihet, men det bör inte ske på bekostnad av bristande efterlevnad.https://t.co/tzZe7bVjZt— ?️ Tornado.cash ?️ (@TornadoCash) 15 april 2022
Källa: https://cryptoslate.com/defi-protocol-beanstalk-loses-180m-in-exploit-hacker-gains-80m/