- Оновлення протоколу Beanstalk підтримувалося за допомогою процесу керування Beanstalk Improvement Proposal (BIP), і в результаті оновлення може запускати довільний код, дозволяючи зловмиснику отримати заблоковані гроші в рамках свого шкідливого оновлення». Omniscia написав наступне.
- Винуватцем, за словами Omniscia, була проблема управління, яка була схильна до флеш-кредитування, що дозволило зловмиснику запропонувати, а потім реалізувати ворожу пропозицію щодо управління, яка ефективно перенесла всі активи протоколу в гаманець зловмисника.
- Організація оголосила про злом у Twitter у неділю і зараз шукає рішення. Beanstalk нещодавно пройшов важливий етап, заробивши 100 мільйонів доларів у токенах BEAN.
Beanstalk Farms, яку називають децентралізованою платформою стейблкоін на основі кредитування, у неділю зламали приблизно на 180 мільйонів доларів у вигляді паперових втрат, що стало останнім зломом DeFi за рік. Це шостий за величиною експлойт журналу в таблиці лідерів і другий за величиною цього року після гігантської атаки на міст Ронін у березні. PeckShield, охоронна фірма, була першою, хто розкрив цю історію. Більшість викрадених грошей — це ефір, який зловмисник швидко вніс у протокол конфіденційності Tornado Cash, щоб приховати походження токенів, подібно до злому Ronin.
Інноваційна система фінансового стимулювання
Організація оголосила про злом у Twitter у неділю і зараз шукає рішення. Beanstalk нещодавно пройшов важливий етап, заробивши 100 мільйонів доларів у токенах BEAN. Beanstalk був розроблений так, щоб бути прив’язаним до долара США, але на відміну від стабільних монет, забезпечених фіатною або крипто-заставою, він використовував інноваційну систему фінансових стимулів, щоб зберегти свою прив’язку, покладаючись на позики, а не на надмірне забезпечення. Папір білого кольору.
Протокол був перевірений експертами з безпеки блокчейну Omniscia, але компанія вказала в посмертному аналізі, що виробничий код, на який вплинула вразливість, не був таким, який вони перевірили. Під час прямої міської зустрічі в неділю розробники спростували це твердження.
ЧИТАЙТЕ ТАКОЖ - Засновник Silk Road Росс Ульбріхт віддасть уряду США BTC на суму 3 мільярди доларів
Ворожа пропозиція щодо управління
Ми не займаємося тим, щоб кидати пальці, пояснив провідний розробник, але ми подивилися на опублікований ними звіт і не подумали, що це правдивий опис того, що сталося. Винуватцем, за словами Omniscia, була проблема управління, яка була схильна до флеш-кредитування, що дозволило зловмиснику запропонувати, а потім реалізувати ворожу пропозицію щодо управління, яка ефективно перенесла всі активи протоколу в гаманець зловмисника.
Трюк полягав у тому, щоб використати гігантську миттєву позику — позичати великі суми, які потрібно було погасити за одну транзакцію — замість того, щоб проходити звичайний життєвий цикл пропозиції щодо управління. Використовуючи позичені стейблкоіни в розмірі 1.04 мільярда доларів, зловмисник ненадовго отримав надзвичайну більшість привілеїв протоколу, що дозволило швидко виконувати шкідливий код. Оновлення протоколу Beanstalk підтримувалося за допомогою процесу керування Beanstalk Improvement Proposal (BIP), і в результаті оновлення може запускати довільний код, дозволяючи зловмиснику отримати заблоковані гроші в рамках свого шкідливого оновлення». Omniscia написав наступне.
Джерело: https://www.thecoinrepublic.com/2022/04/24/the-beanstalk-of-the-algo-stablecoin-network-has-been-dramatically-cut-due-to-such-a-governing- поглинання/