Atakujący pobiera $182M z protokołu Stablecoin Beanstalk
W niedzielę Beanstalk Farms, protokół stablecoin oparty na Ethereum, został wykorzystany za 182 miliony USD. Ten atak wykorzystujący exploit został początkowo oznaczony na Twitterze przez firmę PeckShield zajmującą się bezpieczeństwem blockchain, która powiedziała, że atakujący ukrył co najmniej $80 milionów w kryptowalutach, chociaż straty poniesione przez protokół były znacznie większe.
Exploit wykorzystał lukę w systemie wyroczni Beanstalk, aby wywołać atak manipulacji cenami, w wyniku którego protokół zlikwidował wszystkie jego aktywa. Atak rozpoczął się około 12:00 UTC w niedzielę, kiedy atakujący zaczął drenować rezerwy Beanstalk, sprzedając duże ilości stablecoina BSK za Ethereum.
Rynek dla stablecoina Beanstalk's BEAN załamał się w wyniku ataku. Według danych CoinGecko token Beanstalk rozbił się na 80% z poziomu 1 USD.
Beanstalk potwierdził atak w tweecie, mówiąc, że „pracuje nad kompleksową sekcją zwłok, która zostanie upubliczniona w nadchodzących dniach”. W protokole stwierdzono, że obecnie współpracuje z organami ścigania w celu wyśledzenia napastnika.
Zespół Beanstalk powiedział, że obecnie pracuje nad naprawą wykorzystanej luki.
Beanstalk to zdecentralizowany protokół stablecoin oparty na kredytach”, Beanstalk oferuje kryptowalutę zwaną fasolą, która ma mieć stabilną wartość US$1 monety. Protokół jest zbudowany na Ethereum i wykorzystuje zdecentralizowaną sieć pożyczkodawców do stabilizacji ceny. Protokół został uruchomiony w marcu 2020 r.
Beanstalk działa skutecznie jako bank, pozwalając oszczędzającym („rolnikom fasoli”) dokonywać depozytów („fasoli” na „polu”) i wykorzystując swoje oszczędności, aby zapewnić, że wartość pojedynczej fasoli pozostała jak najbliżej $1 .
Protokół został zaatakowany 17 kwietnia, a atakujący wysysał z pól użytkowników ziarna o wartości $182. Ziarna zostały następnie przekształcone w inne aktywa, w tym Ethereum i USDC. W wyniku ataku wartość pojedynczej fasoli spadła do $0,015.
Beanstalk opublikował podsumowanie ataku na swój serwer Discord. Zgodnie z opublikowanym podsumowaniem, atakujący wziął pożyczkę błyskawiczną na platformie pożyczkowej Aave, która została wykorzystana do zgromadzenia ogromnej ilości natywnego tokena zarządzania Beanstalk, Stalk. Dzięki sile głosu przyznawanej przez te tokeny Stalk atakujący był w stanie szybko przekazać złośliwą propozycję zarządzania, która spuściła wszystkie fundusze protokołu do prywatnego portfela Ethereum, który był kontrolowany przez atakującego.
Według tweetów z PeckShield, osoba atakująca wyprała wszystkie skradzione środki za pośrednictwem platformy znanej jako Tornado Cash, która umożliwia użytkownikom wysyłanie i odbieranie kryptowalut, jednocześnie maskując ich źródło.
Inteligentne kontrakty Beanstalk zostały skontrolowane przez firmę Omnicia zajmującą się bezpieczeństwem blockchain. Jednak audyt został zakończony przed wprowadzeniem podatności na pożyczki flash, poinformowała firma w niedzielnym ataku pośmiertnym. Atak przypomina inny głośny hack, który miał miejsce w lutym, w którym atakujący wyciągnął $30 milionów z protokołu Cream Finance DeFi. Exploit ten wiązał się również z wykorzystaniem pożyczki flash.
Według Peckshield atakujący przekazał również $250 000 skradzionych środków na rzecz A Ukraiński portfel ulgowy. Nie jest jeszcze jasne, czy napastnicy Beanstalk będą w stanie spłacić resztę swojej nieuczciwie zdobytej wypłaty
To tylko rozwój w ciągu głośnych exploitów zdecentralizowanych finansów (DeFi), które mają nastąpić w 2022 roku. W zeszłym miesiącu osoba atakująca z powodzeniem manipulowała ceną tokena SushiSwap SUSHI, zrzucając na rynek kryptowalutę o wartości $13 milionów.
Atak Beanstalk wyróżnia się rozmiarem i wyrafinowaniem.