Protokol DeFi Beanstalk Farms kerugian lebih $180 juta kepada pemain berniat jahat akibat eksploitasi pada 17 April yang membenarkan penggodam meluluskan cadangan tadbir urus.
. EthereumBerasaskan stabilcoin eksploitasi protokol menyebabkan beberapa token hilang dan menyaksikan stablecoin yang ditambat dolar AS jatuh di bawah markah $1.
Beanstalk mengalami eksploitasi hari ini.
Pasukan Beanstalk Farms sedang menyiasat serangan itu dan akan membuat pengumuman kepada komuniti secepat mungkin.
— Ladang Beanstalk (@BeanstalkFarms) April 17, 2022
Protokol kacang dieksploitasi
Syarikat keselamatan rantaian blok PeckShield pertama kali melaporkan penggodaman di Twitter dan berkata a penggodam mencuri lebih daripada $80 juta dengan mengeksploitasi Ladang Beanstalk.
1 / Yang @BeanstalkFarms telah dieksploitasi dalam kegelisahan txs (https://t.co/PMsdP5dnJG and https://t.co/wyHe3ARZgU),
membawa kepada keuntungan $80+M untuk penggodam (Kerugian protokol mungkin lebih besar), termasuk 24,830 ETH dan 36M BEAN.- PeckShield Inc. (@peckshield) April 17, 2022
Penggodam menggunakan pinjaman kilat untuk mendapatkan sejumlah besar token Beanstalk STALK, yang memberikan mereka kuasa mengundi yang mencukupi untuk meluluskan cadangan tadbir urus yang mengalirkan semua dana pada protokol ke dalam dompet penggodam.
Penggodam kemudian membayar balik pinjaman kilat daripada Aave, Uniswap V2, dan Tukar peta dan menukar dana kepada Wrapped ETH. Dana yang dicuri kemudiannya dihantar melalui pengadun Tornado Cash. Penggodam itu turut menyumbangkan sebahagian daripada kripto yang dicurinya kepada Ukraine.
4/ Dana awal untuk melancarkan penggodaman dikeluarkan daripada @SynapseProtocol dan kebanyakan hasil keuntungan didepositkan ke @TornadoCash. Pada masa ini 15,154 ETH masih kekal dalam akaun penggodam. Perhatikan penggodam menderma 250k USDC kepada Derma Kripto Ukraine. pic.twitter.com/jBjUJ0JbGj
- PeckShield Inc. (@peckshield) April 17, 2022
Eksploitasi pinjaman kilat adalah perkara biasa
Eksploitasi Beanstalk Farms bukan tdia penyerang kali pertama telah mengeksploitasi pinjaman kilat. Menurut ringkasan serangan yang disiarkan pada pelayan Beanstalk Discord, eksploitasi berlaku kerana Beanstalk gagal:
"gunakan langkah tahan pinjaman kilat untuk menentukan % Stalk yang telah mengundi memihak kepada BIP."
1/5
Yang baru popular @beanstalkfarms protokol kehilangan $181J+ dalam eksploitasi hari ini, tetapi penyerang hanya memperoleh $76J.
Mari kita fikirkan apa yang berlaku? pic.twitter.com/sRjzAF8stE
- Igor Igamberdiev (@FrankResearcher) April 17, 2022
Firma Keselamatan blockchain yang bertanggungjawab untuk mengaudit kontrak pintar Beanstalk, Omnicia, berkata Beanstalk melancarkan kod tersebut dengan kelemahan pinjaman kilat selepas auditnya. Ia ditambah dalam a analisis postmortem serangan bahawa ia masih belum mengaudit kod yang dieksploitasi.
Memandangkan kelaziman eksploitasi pinjaman kilat dalam ruang DeFi, adalah mengejutkan bahawa Beanstalk memperkenalkan kod tanpa pengauditan yang betul.
Di samping itu, terdapat kebimbangan mengenai sama ada protokol akan membayar balik pengguna. Beanstalk Farms berkata ia akan menyediakan lebih banyak kemas kini pada mesyuarat dewan perbandarannya yang seterusnya.
Peretasan berlaku hanya beberapa minggu selepas eksploitasi jambatan Ronin tersesat $600 juta pada Axie Infinity pada bulan Mac.
Sementara itu, penggunaan Tornado Cash oleh penggodam telah menimbulkan kritikan kerana kekurangan usahanya dalam mencegah penipuan. Tdia ETH mixer baru-baru ini berkata ia menggunakan kontrak Chainanalysis Oracle untuk menyekat alamat yang dibenarkan oleh Pejabat Kawalan Aset Asing (OFAC) daripada menggunakan perkhidmatannya.
Kegunaan Tornado Cash @chainalisis kontrak oracle untuk menyekat alamat yang dibenarkan OFAC daripada mengakses dapp.
Mengekalkan privasi kewangan adalah penting untuk memelihara kebebasan kita, namun, ia tidak sepatutnya melibatkan kos ketidakpatuhan.https://t.co/tzZe7bVjZt— ?️ Tornado.cash ?️ (@TornadoCash) April 15, 2022
Sumber: https://cryptoslate.com/defi-protocol-beanstalk-loses-180m-in-exploit-hacker-gains-80m/