L'attaccante scarica $182M dal protocollo Beanstalk Stablecoin
Domenica, Beanstalk Farms, un protocollo stablecoin basato su Ethereum, è stato sfruttato per 182 milioni di dollari. Questo attacco exploit è stato inizialmente segnalato su Twitter dalla società di sicurezza blockchain PeckShield, che ha affermato che l'attaccante ha eliminato almeno $80 milioni di criptovalute, sebbene le perdite subite dal protocollo siano state molto maggiori.
L'exploit ha sfruttato un difetto nel sistema oracolo di Beanstalk per innescare un attacco di manipolazione dei prezzi che ha portato il protocollo a liquidare tutte le sue risorse. L'attacco è iniziato intorno alle 12:00 UTC di domenica, quando l'attaccante ha iniziato a prosciugare le riserve di Beanstalk vendendo grandi quantità di stablecoin BSK per Ethereum.
Il mercato della stablecoin BEAN di Beanstalk è crollato a causa dell'attacco. Il token Beanstalk è andato in crash su 80% dal suo peg di 1 USD secondo i dati di CoinGecko.
Beanstalk ha confermato l'attacco in un tweet, dicendo che sta "lavorando su un post mortem completo che sarà reso pubblico nei prossimi giorni". Il protocollo afferma che sta attualmente lavorando con le forze dell'ordine per rintracciare l'attaccante.
Il team di Beanstalk ha affermato che stanno attualmente lavorando a una correzione per il difetto che è stato sfruttato.
Beanstalk è un protocollo stablecoin decentralizzato basato sul credito", Beanstalk offre una criptovaluta, chiamata bean, destinata ad avere un valore stabile di US$1 una moneta. Il protocollo è basato su Ethereum e utilizza una rete decentralizzata di istituti di credito per stabilizzare il prezzo. Il protocollo è stato lanciato a marzo 2020.
Beanstalk è effettivamente gestito come una banca, consentendo ai risparmiatori ("coltivatori di fagioli") di effettuare depositi (di "fagioli" in un "campo") e utilizzando i loro risparmi per garantire che il valore di un singolo fagiolo rimanga il più vicino possibile a $1 .
Il protocollo è stato attaccato il 17 aprile, con l'attaccante che ha prosciugato $182 milioni di fagioli dai campi degli utenti. I fagioli sono stati quindi convertiti in altre risorse, tra cui Ethereum e USDC. Il valore di un singolo bean è sceso fino a $0.015 come risultato dell'attacco.
Beanstalk ha pubblicato un riepilogo dell'attacco sul suo server Discord. Secondo il riepilogo pubblicato, l'attaccante ha preso un prestito flash sulla piattaforma di prestito Aave che è stata utilizzata per accumulare un'enorme quantità di token di governance nativo di Beanstalk, Stalk. Con il potere di voto concesso da questi token Stalk, l'attaccante è stato in grado di passare rapidamente una proposta di governance dannosa che ha prosciugato tutti i fondi del protocollo in un portafoglio Ethereum privato controllato dall'attaccante.
Secondo i tweet di PeckShield, l'attaccante ha riciclato tutti i fondi rubati attraverso una piattaforma nota come Tornado Cash, che consente agli utenti di inviare e ricevere criptovalute oscurandone la fonte.
Gli smart contract di Beanstalk sono stati verificati dalla società di sicurezza blockchain Omnicia. Tuttavia, l'audit è stato completato prima dell'introduzione della vulnerabilità del prestito flash, ha affermato l'azienda in un attacco domenicale post mortem. L'attacco ricorda un altro hack di alto profilo avvenuto a febbraio, in cui un aggressore ha prosciugato $30 milioni dal protocollo Cream Finance DeFi. Quell'exploit ha comportato anche l'utilizzo di un prestito lampo.
Secondo Peckshield, l'attaccante sembrava anche donare $250.000 dei fondi rubati a un Portafoglio di soccorso ucraino. Non è ancora chiaro se gli aggressori di Beanstalk saranno in grado di incassare il resto del loro giorno di paga illecito
Questo è solo lo sviluppo di una serie di exploit di finanza decentralizzata (DeFi) di alto profilo che si verificheranno nel 2022. Il mese scorso, un aggressore ha manipolato con successo il prezzo del token SUSHI di SushiSwap scaricando sul mercato $13 milioni di criptovaluta.
L'attacco Beanstalk è notevole per le sue dimensioni e raffinatezza.