פרוטוקול DeFi Beanstalk Farms הפסיד יותר מ-180 מיליון דולר לשחקנים זדוניים עקב ניצול ב-17 באפריל שאפשר להאקר להעביר הצעת ניהול.
השמיים Ethereumמבוסס stablecoin הניצול של הפרוטוקול הותיר כמה אסימונים חסרים וראה את המטבע היציב שלו המוצמד לדולר ארה"ב לרדת מתחת ל-$1.
Beanstalk ספג ניצול היום.
צוות חוות Beanstalk חוקר את הפיגוע ויפרסם הודעה לקהילה בהקדם האפשרי.
— חוות שעועית (@BeanstalkFarms) אפריל 17, 2022
נוצל פרוטוקול שעועית
חברת אבטחת בלוקצ'יין פק שילד דיווח לראשונה על הפריצה בטוויטר ואמר א האקר גנב יותר מ-80 מיליון דולר על ידי ניצול חוות Beanstalk.
1 / ה @BeanstalkFarms נוצל בשטף של txs (https://t.co/PMsdP5dnJG ו https://t.co/wyHe3ARZgU),
מה שמוביל לרווח של $80+M עבור ההאקר (אובדן הפרוטוקול עשוי להיות גדול יותר), כולל 24,830 ETH ו-36M BEAN.- PeckShield Inc. (@peckshield) אפריל 17, 2022
ההאקר השתמש בהלוואות פלאש כדי להשיג כמות גדולה של אסימוני Beanstalk STALK, מה שנתן להם מספיק כוח הצבעה כדי להעביר הצעת ממשל שניקזה את כל הכספים על הפרוטוקול לארנק של ההאקר.
לאחר מכן ההאקר החזיר את הלוואות הבזק מ אווה, Uniswap V2, ו סושיוואפ והמיר את הכספים ל-Wrapped ETH. הכספים הגנובים נשלחו לאחר מכן דרך מערבל טורנדו קאש. ההאקר גם תרם חלק מהקריפטו הגנוב שלו לאוקראינה.
4/ הכספים הראשוניים להפעלת הפריצה נמשכים מהם @SynapseProtocol ורוב רווחי התוצאה מופקדים אליו @TornadoCash. נכון לעכשיו 15,154 ETH עדיין נשארים בחשבון של ההאקר. שימו לב שההאקר תורם 250k USDC לתרומת קריפטו של אוקראינה. pic.twitter.com/jBjUJ0JbGj
- PeckShield Inc. (@peckshield) אפריל 17, 2022
ניצול הלוואות פלאש נפוצים
הניצול של Beanstalk Farms הוא לאהפעם הראשונה שתוקפים ניצלו הלוואות פלאש. על פי תקציר התקיפה שפורסם בשרת Beanstalk Discord, הניצול קרה מכיוון Beanstalk לא הצליח:
"השתמש באמצעי עמיד בהלוואות הבזק כדי לקבוע את אחוז סטאלק שהצביע בעד ה-BIP."
1/5
הפופולרי החדש @Beanstalkfarms הפרוטוקול הפסיד $181M+ בניצול של היום, אבל התוקף הרוויח רק $76M.
בואו נבין מה קרה? pic.twitter.com/sRjzAF8stE
- איגור איגמברדיב (@FrankResearcher) אפריל 17, 2022
חברת blockchain Security האחראית על ביקורת חוזים חכמים של Beanstalk, Omnicia, אמרה כי Beanstalk השיקה את הקוד עם פגיעות הלוואת הבזק לאחר הביקורת. זה הוסיף ב-a ניתוח שלאחר המוות של המתקפה שהיא עדיין לא ביקרה את הקוד המנוצל.
בהתחשב בשכיחות של מנצל הלוואות בזק בתחום ה-DeFi, זה מפתיע ש-Beanstalk הציג את הקוד ללא ביקורת מתאימה.
בנוסף, יש חששות אם הפרוטוקול יחזיר למשתמשים. Beanstalk Farms אמרה שהיא תספק עדכונים נוספים בישיבת העירייה הבאה שלה.
הפריצה מגיעה רק כמה שבועות לאחר ניצול גשר רונין איבדו 600 מיליון דולר ב-Axie Infinity במרץ.
בינתיים, השימוש של טורנדו קאש על ידי האקרים עורר ביקורת על חוסר המאמץ במניעת הונאה. טמערבל ה-ETH אמר לאחרונה שהוא משתמש בחוזה של אורקל של Chainanalysis כדי בלוק כתובות שאושרו על ידי המשרד לבקרת נכסים זרים (OFAC) משימוש בשירותיו.
טורנדו קאש משתמש @ניתוח שרשרת חוזה אורקל לחסימת כתובות שאושרו על ידי OFAC מגישה ל-dapp.
שמירה על פרטיות פיננסית חיונית לשמירה על החופש שלנו, עם זאת, היא לא צריכה לבוא במחיר של אי ציות.https://t.co/tzZe7bVjZt— ?️ Tornado.cash ?️ (@TornadoCash) אפריל 15, 2022
מקור: https://cryptoslate.com/defi-protocol-beanstalk-loses-180m-in-exploit-hacker-gains-80m/