Протокол DeFi Beanstalk Farms втратив понад 180 мільйонів доларів через зловмисників через експлойт 17 квітня, який дозволив хакеру передати пропозицію щодо управління.
Команда EthereumНа основі стабільний конус в результаті експлойту протоколу зникли кілька токенів, а його стейблкоін прив’язаний до долара США впасти нижче позначки в 1 долар.
Бобове стебло сьогодні зазнало подвигу.
Команда Beanstalk Farms розслідує напад і якнайшвидше зробить оголошення для спільноти.
— Beanstalk Farms (@BeanstalkFarms) Квітень 17, 2022
Протокол Beans експлуатується
Блокчейн охоронна компанія PeckShield спершу повідомив про хак у Twitter і сказав a Хакер вкрав понад 80 мільйонів доларів, експлуатуючи Beanstalk Farms.
1 / @BeanstalkFarms був використаний у шквалі txs (https://t.co/PMsdP5dnJG та https://t.co/wyHe3ARZgU),
що призвело до виграшу хакера в розмірі 80+ млн доларів (втрата протоколу може бути більшою), включаючи 24,830 36 ETH і XNUMX млн BEAN.- PeckShield Inc. (@peckshield) Квітень 17, 2022
Хакер використав флеш-позику, щоб отримати велику кількість токенів Beanstalk STALK, що дало їм достатню кількість голосів, щоб прийняти пропозицію щодо управління, яка переливала всі кошти з протоколу в гаманець хакера.
Потім хакер повернув флеш-позики Повз, Відключення V2 і Сушіп і конвертував кошти в Wrapped ETH. Потім викрадені кошти були відправлені через міксер Tornado Cash. Хакер також пожертвував Україні частину своїх вкрадених криптовалют.
4/ Початкові кошти для запуску хаку вилучаються @SynapseProtocol і більшість отриманих результатів відкладається на депозит @TornadoCash. На даний момент на рахунку хакера залишається 15,154 250 ETH. Зверніть увагу, що хакер пожертвує XNUMX тис. USDC на крипто-пожертву в Україні. pic.twitter.com/jBjUJ0JbGj
- PeckShield Inc. (@peckshield) Квітень 17, 2022
Подвиги з флеш-кредитами є поширеними
Подвиг Beanstalk Farms не є твін вперше зловмисники скористалися миттєвими кредитами. Згідно з підсумками атаки, опублікованим на сервері Beanstalk Discord, експлойт стався тому, що Beanstalk не зміг:
«використовуйте міру стійкості до миттєвої позики, щоб визначити % Стелка, який проголосував за BIP».
1/5
Новий популярний @beanstalkfarms Протокол втратив $181 млн+ у сьогоднішньому експлойті, але зловмисник отримав лише $76 млн.
Давайте розберемося, що сталося? pic.twitter.com/sRjzAF8stE
- Ігор Ігамбердієв (@FrankResearcher) Квітень 17, 2022
Компанія Omnicia, яка відповідає за аудит смарт-контрактів Beanstalk, повідомила, що Beanstalk запустив код із вразливістю флеш-кредитів після його аудиту. Це додано в а посмертний аналіз атаки, що вона ще не перевірила використаний код.
Враховуючи поширеність о флеш-кредити експлойти у просторі DeFi дивно, що Beanstalk представив код без належного аудиту.
Крім того, є занепокоєння щодо того, чи відшкодує цей протокол користувачам. Beanstalk Farms заявила, що надасть більше оновлень на наступному засіданні ратуші.
Злом відбувається лише через кілька тижнів після експлойту мосту Роніна програв 600 мільйонів доларів на Axie Infinity у березні.
Тим часом використання Tornado Cash хакерами викликало критику за відсутність зусиль для запобігання шахрайству. Твін нещодавно заявив, що використовує контракт Chainanalysis Oracle блок адреси, на які Управління з контролю за іноземними активами (OFAC) заборонило використання його послуг.
Використовує Tornado Cash @chainlysis контракт Oracle, щоб заблокувати санкціоновані адреси OFAC доступу до dapp.
Підтримка фінансової конфіденційності має важливе значення для збереження нашої свободи, однак це не повинно відбуватися ціною недотримання.https://t.co/tzZe7bVjZt— ?️ Tornado.cash ?️ (@TornadoCash) Квітень 15, 2022
Джерело: https://cryptoslate.com/defi-protocol-beanstalk-loses-180m-in-exploit-hacker-gains-80m/