O protocolo DeFi Beanstalk Farms perdeu mais de US$ 180 milhões para jogadores mal-intencionados devido a uma exploração em 17 de abril que permitiu a um hacker aprovar uma proposta de governança.
A EthereumBaseada stablecoin a exploração do protocolo deixou vários tokens ausentes e viu sua stablecoin atrelada ao dólar americano cair abaixo da marca de $ 1.
Beanstalk sofreu um exploit hoje.
A equipe da Beanstalk Farms está investigando o ataque e fará um anúncio à comunidade o mais rápido possível.
— Fazendas Pé de Feijão (@BeanstalkFarms) 17 de abril de 2022
Protocolo de feijão explorado
Empresa de segurança Blockchain PeckShield primeiro relatou o hack no Twitter e disse que um hacker roubou mais de US$ 80 milhões explorando a Beanstalk Farms.
1 / The @BeanstalkFarms foi explorado em uma enxurrada de txs (https://t.co/PMsdP5dnJG e https://t.co/wyHe3ARZgU),
levando ao ganho de $ 80+M para o hacker (A perda de protocolo pode ser maior), incluindo 24,830 ETH e 36M BEAN.- PeckShield Inc. (@peckshield) 17 de abril de 2022
O hacker usou empréstimos em flash para obter uma grande quantidade de tokens Beanstalk STALK, o que lhes deu poder de voto suficiente para aprovar uma proposta de governança que drenava todos os fundos do protocolo para a carteira do hacker.
O hacker então pagou os empréstimos em flash de Aave, Uniswap V2, e Sushiwap e converteu os fundos em Wrapped ETH. Os fundos roubados foram então enviados através do mixer Tornado Cash. O hacker também doou algumas de suas criptomoedas roubadas para a Ucrânia.
4/ Os fundos iniciais para lançar o hack são retirados de @SynapseProtocol e a maior parte dos ganhos de resultado são depositados @TornadoCash. Atualmente, 15,154 ETH ainda permanecem na conta do hacker. Observe que o hacker doa 250k USDC para a Doação de Criptografia da Ucrânia. pic.twitter.com/jBjUJ0JbGj
- PeckShield Inc. (@peckshield) 17 de abril de 2022
As explorações de empréstimos em flash são comuns
A exploração da Beanstalk Farms não éOs invasores de primeira viagem exploraram empréstimos instantâneos. De acordo com o resumo do ataque publicado no servidor Beanstalk Discord, a exploração aconteceu porque o Beanstalk falhou em:
“use uma medida de resistência a empréstimos rápidos para determinar a % de Stalk que votou a favor do BIP”.
1/5
O novo popular @beanstalkfarms protocolo perdeu mais de US$ 181 milhões na exploração de hoje, mas o invasor ganhou apenas US$ 76 milhões.
Vamos descobrir o que aconteceu? pic.twitter.com/sRjzAF8stE
- Igor Igamberdiev (@FrankResearcher) 17 de abril de 2022
A empresa de segurança blockchain responsável por auditar os contratos inteligentes do Beanstalk, Omnicia, disse que o Beanstalk lançou o código com a vulnerabilidade de empréstimo em flash após sua auditoria. Acrescentou em um análise post mortem do ataque que ainda não havia auditado o código explorado.
Dada a prevalência de explorações de empréstimos em flash no espaço DeFi, é surpreendente que o Beanstalk tenha introduzido o código sem a devida auditoria.
Além disso, há preocupações sobre se o protocolo reembolsará os usuários. A Beanstalk Farms disse que fornecerá mais atualizações em sua próxima reunião na prefeitura.
O hack ocorre apenas algumas semanas após uma exploração da ponte Ronin perdido US$ 600 milhões no Axie Infinity em março.
Enquanto isso, o uso do Tornado Cash por hackers deu origem a críticas por sua falta de esforço na prevenção de fraudes. TO mixer ETH disse recentemente que está usando o contrato Chainanalysis Oracle para quadra endereços sancionados pelo Office of Foreign Assets Control (OFAC) de usar seus serviços.
Usos do Tornado Cash @chainalysis contrato oracle para impedir que endereços sancionados pela OFAC acessem o dapp.
Manter a privacidade financeira é essencial para preservar nossa liberdade, no entanto, isso não deve ser feito à custa do descumprimento.https://t.co/tzZe7bVjZt- ?️ Tornado.cash ?️ (@TornadoCash) 15 de abril de 2022
Fonte: https://cryptoslate.com/defi-protocol-beanstalk-loses-180m-in-exploit-hacker-gains-80m/