Beanstalk Farms, een op Ethereum gebaseerd stablecoin-platform, heeft een enorm geldverlies geleden bij de laatste grote aanval op zijn netwerk.
De hacker maakte misbruik van enkele beveiligingsproblemen in Beanstalk
PeckShield, een blockchain-beveiligingsbedrijf dat de aanval onder de aandacht bracht via Twitter op zondag verloor het netwerk $ 182 miljoen. Ter vergelijking: de aanvaller heeft ongeveer $80 miljoen aan crypto-tokens buitgemaakt. Door de 80 miljoen dollar over te maken naar cryptomixdienstverlener Tornado Cash is de dader er al in geslaagd zijn spoor te verbergen.
De hacker kon het geld stelen, met name 24,830 ETH en 36M Bean, door twee slechtaardige voorstellen uit te voeren, gevolgd door een flitsleningaanval via Aave, waarbij hij misbruik maakte van enkele beveiligingsfouten in het netwerk.
De aanvaller heeft een aanzienlijk deel van de token Stalk van Beanstalk veiliggesteld door een flitslening af te sluiten op het leenplatform van Aave. Het sterke stemrecht dat aan de hacker werd toegekend, stelde hem in staat de tweederde meerderheidsregel van de Stalk-tokens te omzeilen. De dader kon daardoor snel een frauduleus bestuursvoorstel accepteren waarbij al het protocolgeld naar een Ethereum-portemonnee werd omgeleid.
PeckShield merkte ook op dat de aanval begon met de passage van BIP-18 en BIP-19, die bedoeld waren om 250,000 USDC bij te dragen aan het door oorlog getroffen Oekraïne.
Een reddingsoperatie is niet waarschijnlijk
De oprichters van Beanstalk weigerden commentaar te geven op de vraag of het geld van gebruikers zal worden terugbetaald, maar zeiden dat ze tijdens hun Town Hall Meeting verdere informatie zouden verstrekken. Publius, een teamlid van Discord, gelooft dat de hack de totale ondergang van het project zou kunnen veroorzaken. Hij beweerde dat, omdat hun initiatief geen durfkapitaalsteun heeft, het vrij onwaarschijnlijk is dat er enige vorm van redding of terugbetaling zal komen.
Publius voegde er ook aan toe dat hetzelfde proces dat het succes van Beanstalk bevorderde, ook het aspect was dat ervoor zorgde dat het mislukte.
Ondertussen hebben de oprichters van Beanstalk Farms zich gedistantieerd van de exploit en beweren dat ze geen van de aanvallers kennen. Ook zij beweren hun investering in het proces te hebben verloren.
Na het incident crashte BEAN, de stablecoin van het systeem die werd gemaakt om de prijs van de Amerikaanse dollar te monitoren. Het wordt nu verhandeld tegen $ 0.26 per aandeel.
Flitsleningen zijn een veel voorkomende maas in de wet geworden voor hackers
Flitsleningen zijn leningen waarbij een kredietverstrekker geld uitgeeft aan een kredietnemer die terugbetaling met een rentebedrag verwacht. Het is een vorm van ongedekte leningen die aan beleggers beschikbaar wordt gesteld door verschillende gedecentraliseerde financieringsnetwerken (DeFi) en protocollen waar gebruikers grote hoeveelheden activa kunnen lenen.
Deze aanval wordt de nieuwste toevoeging aan verschillende flitsleningsaanvallen, waaronder Ring Protocol, Value Defi, Cream Finance en Alpha Homora. Hackers kunnen het slimme contract met de kleinste codeerfout misbruiken en met enorme sommen geld weglopen.
Valuta.com, een handelsbedrijf in cryptocurrency, verklaarde vorige week dat het een aanzienlijke hack had gestopt door alle activiteiten in Rusland te blokkeren. Het platform werd onderworpen aan een mislukte gedistribueerde ‘denial of service’ (DDoS) cyberaanval.
Bron: https://crypto.news/beanstalk-flash-loan-attack-about-180m-vanish/