DeFi-protocol Beanstalk Farms verloor meer dan $ 180 miljoen aan kwaadwillende spelers als gevolg van een exploit op 17 april waardoor een hacker een bestuursvoorstel kon goedkeuren.
De EthereumGebaseerde stablecoin De exploit van het protocol liet verschillende tokens achter en zag zijn aan Amerikaanse dollar gekoppelde stablecoin zak onder de $ 1.
Beanstalk heeft vandaag een uitbuiting gehad.
Het Beanstalk Farms-team onderzoekt de aanval en zal zo snel mogelijk een aankondiging doen aan de gemeenschap.
— Bonenstaakboerderijen (@BeanstalkFarms) 17 april 2022
Beans-protocol misbruikt
Blockchain-beveiligingsbedrijf PeckSchild meldde de hack voor het eerst op Twitter en zei a hacker stal meer dan $ 80 miljoen door Beanstalk Farms te exploiteren.
1 / Het @BeanstalkFarms werd uitgebuit in een vlaag van txs (https://t.co/PMsdP5dnJG en https://t.co/wyHe3ARZgU),
wat leidt tot een winst van $80+M voor de hacker (het protocolverlies kan groter zijn), inclusief 24,830 ETH en 36M BEAN.- PeckShield Inc. (@peckshield) 17 april 2022
De hacker gebruikte flitsleningen om een grote hoeveelheid Beanstalk STALK-tokens te verkrijgen, waardoor ze voldoende stemkracht hadden om een bestuursvoorstel door te voeren dat al het geld van het protocol in de portemonnee van de hacker wegvloeide.
De hacker betaalde vervolgens de flitsleningen terug van Aave, uniswap V2, en Sushiwap en zette het geld om in Wrapped ETH. Het gestolen geld werd vervolgens via de Tornado Cash-mixer verzonden. De hacker schonk ook een deel van zijn gestolen crypto aan Oekraïne.
4/ De initiële fondsen om de hack te lanceren worden teruggetrokken uit @SynapseProtocol en de meeste resultaatwinsten worden gestort op @RTLnieuws. Momenteel staat er nog 15,154 ETH op het account van de hacker. Merk op dat de hacker 250 USDC doneert aan Oekraïne Crypto Donation. pic.twitter.com/jBjUJ0JbGj
- PeckShield Inc. (@peckshield) 17 april 2022
Flitsleningen komen vaak voor
De exploit van Beanstalk Farms is nietDe eerste keer dat aanvallers flitsleningen hebben uitgebuit. Volgens de aanvalssamenvatting die op de Beanstalk Discord-server is geplaatst, gebeurde de exploit omdat Beanstalk er niet in slaagde om:
"gebruik een flitsleningbestendige maatregel om het percentage van Stalk te bepalen dat voor de BIP heeft gestemd."
1/5
De nieuwe populaire @bonenstalkfarms protocol verloor $ 181 miljoen + in de exploit van vandaag, maar de aanvaller won slechts $ 76 miljoen.
Laten we uitzoeken wat er is gebeurd? pic.twitter.com/sRjzAF8stE
- Igor Igamberdiev (@FrankResearcher) 17 april 2022
Het blockchain-beveiligingsbedrijf dat verantwoordelijk is voor het controleren van slimme contracten van Beanstalk, Omnicia, zei dat Beanstalk de code lanceerde met de kwetsbaarheid voor flitsleningen na zijn audit. Het voegde in een postmortale analyse van de aanval dat het de uitgebuite code nog niet had gecontroleerd.
Gezien de prevalentie van flitsleningen exploits in de DeFi-ruimte is het verrassend dat Beanstalk de code introduceerde zonder behoorlijke controle.
Daarnaast zijn er zorgen over de vraag of het protocol gebruikers zal vergoeden. Beanstalk Farms zei dat het meer updates zal geven tijdens zijn volgende gemeentehuisvergadering.
De hack komt slechts een paar weken na een Ronin-bridge-exploit verloren $ 600 miljoen op Axie Infinity in maart.
Ondertussen heeft het gebruik van Tornado Cash door hackers aanleiding gegeven tot kritiek vanwege het gebrek aan inspanningen om fraude te voorkomen. TDe ETH-mixer zei onlangs dat het het Chainanalysis Oracle-contract gebruikt om blok adressen die door het Office of Foreign Assets Control (OFAC) zijn gesanctioneerd voor het gebruik van zijn diensten.
Tornado Cash gebruikt @ketenanalyse Oracle-contract om door OFAC gesanctioneerde adressen de toegang tot de dapp te blokkeren.
Het handhaven van financiële privacy is essentieel voor het behoud van onze vrijheid, maar dit mag niet ten koste gaan van niet-naleving.https://t.co/tzZe7bVjZt— ?️ Tornado.cash ?️ (@TornadoCash) 15 april 2022
Bron: https://cryptoslate.com/defi-protocol-beanstalk-loses-180m-in-exploit-hacker-gains-80m/