Пратакол DeFi Beanstalk Farms страціў больш за 180 мільёнаў долараў ад шкоднасных гульцоў з-за эксплойта 17 красавіка, які дазволіў хакеру перадаць прапанову аб кіраванні.
,en ЭфириумаНа аснове stablecoin эксплойт пратакола прывёў да таго, што некалькі токенаў прапалі без вестак, і яго стейблкойн, прывязаны да даляра ЗША апусціцца ніжэй за адзнаку ў 1 долар.
Beanstalk сёння пацярпеў ад эксплойта.
Каманда Beanstalk Farms расследуе атаку і як мага хутчэй зробіць паведамленне для супольнасці.
— Beanstalk Farms (@BeanstalkFarms) Красавік 17, 2022
Пратакол Beans эксплуатуецца
Ахоўная кампанія блокчейн ПекШылд упершыню паведаміў пра ўзлом у Twitter і сказаў, што а хакер скраў больш за 80 мільёнаў долараў, выкарыстоўваючы Beanstalk Farms.
1 / @BeanstalkFarms быў выкарыстаны ў шквале txs (https://t.co/PMsdP5dnJG і https://t.co/wyHe3ARZgU),
што прыводзіць да выйгрышу ў памеры 80+ мільёнаў долараў для хакера (страта пратакола можа быць большай), уключаючы 24,830 36 ETH і XNUMX мільёнаў BEAN.- PeckShield Inc. (@peckshield) Красавік 17, 2022
Хакер выкарыстаў флэш-пазыкі, каб атрымаць вялікую колькасць токенаў Beanstalk STALK, што дало ім дастаткова правоў для галасавання, каб прыняць прапанову аб кіраванні, у выніку якой усе сродкі па пратаколе былі пераведзены ў кашалёк хакера.
Затым хакер вярнуў флэш-пазыкі Паслухайся, Адмяніць V2 і Сушып і канвертаваў сродкі ў Wrapped ETH. Затым выкрадзеныя сродкі адпраўляліся праз міксер Tornado Cash. Хакер таксама ахвяраваў Украіне частку сваёй скрадзенай крыпты.
4/ Першапачатковыя сродкі для запуску хака здымаюцца з @SynapseProtocol і большая частка вынікаў прыносіць на захоўванне @Tornadocash. У цяперашні час 15,154 250 ETH усё яшчэ застаюцца на рахунку хакера. Звярніце ўвагу, што хакер ахвяруе XNUMX тыс. USDC на ахвяраванне Украіны Crypto. pic.twitter.com/jBjUJ0JbGj
- PeckShield Inc. (@peckshield) Красавік 17, 2022
Эксплойты флэш-пазыкі - звычайная справа
Эксплойт Beanstalk Farms не тУпершыню зламыснікі скарысталіся флэш-пазыкамі. Згодна са зводкай атакі, апублікаванай на серверы Beanstalk Discord, эксплойт адбыўся таму, што Beanstalk не змог:
«выкарыстоўвайце меру ўстойлівасці да хуткай пазыкі, каб вызначыць % Stalk, які прагаласаваў за BIP».
1/5
Новы папулярны @beanstalkfarms пратакол страціў больш за 181 мільён долараў за сённяшні эксплойт, але зламыснік атрымаў толькі 76 мільёнаў долараў.
Давайце разбярэмся, што здарылася? pic.twitter.com/sRjzAF8stE
- Ігар Ігамбердыеў (@FrankResearcher) Красавік 17, 2022
Фірма Omnicia, якая займаецца бяспекай блокчейнаў, адказвае за аўдыт смарт-кантрактаў Beanstalk, паведаміла, што Beanstalk запусціла код з уразлівасцю флэш-пазыкі пасля аўдыту. Гэта дададзена ў а пасмяротны аналіз атакі, што ён яшчэ не праверыў эксплуатаваны код.
Улічваючы распаўсюджанасць в эксплойты флэш-крэдытаў у прасторы DeFi дзіўна, што Beanstalk прадставіў код без належнага аўдыту.
Акрамя таго, ёсць асцярогі наконт таго, ці кампенсуе пратакол карыстальнікам. Beanstalk Farms заявіла, што дасць дадатковыя абнаўленні на наступным пасяджэнні ратушы.
Узлом адбыўся ўсяго праз некалькі тыдняў пасля эксплуатацыі моста Ронін страчаны 600 мільёнаў долараў на Axie Infinity у сакавіку.
Між тым выкарыстанне Tornado Cash хакерамі выклікала крытыку за адсутнасць намаганняў па прадухіленні махлярства. ТЗмяшальнік ETH нядаўна заявіў, што выкарыстоўвае кантракт Oracle Chainanalysis для блакаваць адрасы, на якія Упраўленне па кантролі за замежнымі актывамі (OFAC) не можа карыстацца яго паслугамі.
Tornado Cash выкарыстоўвае @chainlysis кантракт Oracle на блакіроўку санкцыянаваных адрасоў OFAC ад доступу да дап.
Захаванне фінансавай канфідэнцыяльнасці мае важнае значэнне для захавання нашай свабоды, аднак гэта не павінна прыносіцца цаной невыканання патрабаванняў.https://t.co/tzZe7bVjZt— ?️ Tornado.cash ?️ (@TornadoCash) Красавік 15, 2022
Крыніца: https://cryptoslate.com/defi-protocol-beanstalk-loses-180m-in-exploit-hacker-gains-80m/