Das DeFi-Protokoll Beanstalk Farms hat durch einen Exploit am 180. April, der es einem Hacker ermöglichte, einen Governance-Vorschlag zu verabschieden, über 17 Millionen US-Dollar an böswillige Spieler verloren.
Das Ethereum-Basis Stablecoin Der Exploit des Protokolls führte dazu, dass mehrere Token fehlten und der an den US-Dollar gekoppelte Stablecoin entstand unter die 1-Dollar-Marke fallen.
Beanstalk erlitt heute einen Exploit.
Das Beanstalk Farms-Team untersucht den Angriff und wird der Community so schnell wie möglich eine Ankündigung machen.
– Bohnenstangenfarmen (@BeanstalkFarms) 17. April 2022
Beans-Protokoll ausgenutzt
Blockchain-Sicherheitsunternehmen PeckShield Zuerst meldete er den Hack auf Twitter und sagte a Hacker haben durch die Ausnutzung von Beanstalk Farms mehr als 80 Millionen US-Dollar gestohlen.
1 / Die @BeanstalkFarms wurde in einer Flut von Sendungen ausgenutzt (https://t.co/PMsdP5dnJG und https://t.co/wyHe3ARZgU),
Dies führt zu einem Gewinn von über 80 Millionen US-Dollar für den Hacker (der Protokollverlust kann größer sein), einschließlich 24,830 ETH und 36 Millionen BEAN.- PeckShield Inc. (@peckshield) 17. April 2022
Der Hacker nutzte Blitzkredite, um eine große Menge an Beanstalk STALK-Tokens zu erhalten, die ihm genug Stimmrecht verschafften, um einen Governance-Vorschlag zu verabschieden, der alle Gelder des Protokolls in die Brieftasche des Hackers fließen ließ.
Anschließend zahlte der Hacker die Blitzkredite zurück Aave, Uniswap V2 und Sushiwap und wandelte die Gelder in Wrapped ETH um. Die gestohlenen Gelder wurden dann über den Tornado Cash Mixer weitergeleitet. Der Hacker spendete auch einen Teil seiner gestohlenen Kryptowährungen an die Ukraine.
4/ Die anfänglichen Mittel zum Starten des Hacks werden abgezogen @SynapseProtocol und der Großteil der Ergebnisgewinne wird eingezahlt @ TornadoCash. Derzeit verbleiben noch 15,154 ETH auf dem Konto des Hackers. Beachten Sie, dass der Hacker 250 USDC an die Ukraine Crypto Donation gespendet hat. pic.twitter.com/jBjUJ0JbGj
- PeckShield Inc. (@peckshield) 17. April 2022
Flash-Kredit-Exploits kommen häufig vor
Der Exploit von Beanstalk Farms ist nicht tZum ersten Mal haben Angreifer Flash-Kredite ausgenutzt. Laut der auf dem Beanstalk-Discord-Server veröffentlichten Angriffszusammenfassung geschah der Exploit, weil Beanstalk Folgendes versäumte:
„Verwenden Sie ein Maß für die Resistenz gegen kurzfristige Kredite, um den Prozentsatz der Stalk-Angehörigen zu ermitteln, die für das BIP gestimmt haben.“
1/5
Das neue Populäre @beanstalkfarms Das Protokoll hat durch den heutigen Exploit mehr als 181 Millionen US-Dollar verloren, aber der Angreifer hat nur 76 Millionen US-Dollar gewonnen.
Lassen Sie uns herausfinden, was passiert ist? pic.twitter.com/sRjzAF8stE
- Igor Igamberdiev (@FrankResearcher) 17. April 2022
Das Blockchain-Sicherheitsunternehmen Omnicia, das für die Prüfung intelligenter Beanstalk-Verträge verantwortlich ist, sagte, dass Beanstalk nach seiner Prüfung den Code mit der Flash-Loan-Schwachstelle eingeführt habe. Es fügte in einem hinzu Postmortemanalyse des Angriffs, dass der ausgenutzte Code noch nicht überprüft worden sei.
Angesichts der Prävalenz von Flash-Kredite-Exploits Im DeFi-Bereich ist es überraschend, dass Beanstalk den Code ohne ordnungsgemäße Prüfung eingeführt hat.
Darüber hinaus gibt es Bedenken, ob das Protokoll den Nutzern eine Rückerstattung gewährt. Beanstalk Farms sagte, es werde bei seiner nächsten Bürgerversammlung weitere Updates bereitstellen.
Der Hack erfolgt nur wenige Wochen nach einem Ronin-Bridge-Exploit vorbei verloren 600 Millionen US-Dollar bei Axie Infinity im März.
Unterdessen hat der Einsatz von Tornado Cash durch Hacker Anlass zu Kritik wegen mangelnder Anstrengungen zur Betrugsprävention gegeben. TDer ETH-Mixer gab kürzlich bekannt, dass er dafür den Chainanalysis-Oracle-Vertrag nutzt Schutzmassnahmen bei Adressen, gegen die das Office of Foreign Assets Control (OFAC) Sanktionen verhängt hat, dürfen seine Dienste nicht nutzen.
Tornado Cash verwendet @chainalysis Oracle-Vertrag zum Blockieren von OFAC-sanktionierten Adressen für den Zugriff auf die dapp.
Die Wahrung der finanziellen Privatsphäre ist für die Wahrung unserer Freiheit unerlässlich, sollte jedoch nicht auf Kosten der Nichteinhaltung gehen.https://t.co/tzZe7bVjZt— ?️ Tornado.cash ?️ (@TornadoCash) 15. April 2022
Quelle: https://cryptoslate.com/defi-protocol-beanstalk-loses-180m-in-exploit-hacker-gains-80m/