Злоумышленник сливает $182M из протокола Beanstalk Stablecoin
В воскресенье Beanstalk Farms, протокол стабильной монеты на основе Ethereum, был взломан на 182 миллиона долларов США. Эта эксплойт-атака была первоначально отмечена в Твиттере фирмой по безопасности блокчейнов PeckShield, которая заявила, что злоумышленник похитил не менее $80 миллионов в криптовалюте, хотя потери, понесенные протоколом, были намного больше.
Эксплойт воспользовался уязвимостью в системе оракула Beanstalk, чтобы вызвать атаку с манипулированием ценами, в результате которой протокол ликвидировал все свои активы. Атака началась около 12:00 UTC в воскресенье, когда злоумышленник начал истощать резервы Beanstalk, продавая большое количество стейблкоина BSK за Ethereum.
Рынок стейблкоина Beanstalk BEAN рухнул в результате атаки. Согласно данным CoinGecko, токен Beanstalk упал на 80% по сравнению с привязкой к 1 доллару США.
Beanstalk подтвердил атаку в своем твите, заявив, что «работает над всеобъемлющим вскрытием, которое будет обнародовано в ближайшие дни». В протоколе говорится, что в настоящее время он работает с правоохранительными органами, чтобы выследить злоумышленника.
Команда Beanstalk заявила, что в настоящее время они работают над исправлением уязвимости, которая была использована.
Beanstalk — это децентрализованный протокол стейблкоина, основанный на кредитах». Beanstalk предлагает криптовалюту, называемую бобами, которая должна иметь стабильную стоимость монеты US$1. Протокол построен на Ethereum и использует децентрализованную сеть кредиторов для стабилизации цены. Протокол был запущен в марте 2020 года.
Beanstalk эффективно работает как банк, позволяя вкладчикам («фермерам по выращиванию фасоли») вносить вклады («бобы» в «поле») и используя свои сбережения для обеспечения того, чтобы стоимость одной фасоли оставалась как можно ближе к $1. .
Протокол был атакован 17 апреля, когда злоумышленник похитил бобы на сумму $182 миллиона с полей пользователей. Затем бобы были конвертированы в другие активы, включая Ethereum и USDC. В результате атаки стоимость одного компонента упала до $0,015.
Beanstalk опубликовал сводную информацию об атаке на своем сервере Discord. Согласно опубликованному резюме, злоумышленник взял мгновенный кредит на кредитной платформе Aave, которая использовалась для накопления огромного количества собственного токена управления Beanstalk, Stalk. Благодаря праву голоса, предоставленному этими токенами Stalk, злоумышленник смог быстро передать вредоносное предложение по управлению, которое истощило все средства протокола в частный кошелек Ethereum, который контролировался злоумышленником.
Согласно твитам PeckShield, злоумышленник отмыл все украденные средства через платформу, известную как Tornado Cash, которая позволяет пользователям отправлять и получать криптовалюту, скрывая ее источник.
Смарт-контракты Beanstalk были проверены фирмой Omnicia, занимающейся безопасностью блокчейна. Тем не менее, аудит был завершен до того, как была обнаружена уязвимость, связанная с быстрым кредитом, заявила фирма в воскресном вскрытии атаки. Атака напоминает другой громкий взлом, произошедший в феврале, когда злоумышленник вывел $30 миллионов из протокола DeFi Cream Finance. Этот эксплойт также включал использование быстрой ссуды.
По словам Пекшилда, злоумышленник также пожертвовал $250 000 украденных средств Украинский рельефный кошелек. Пока не ясно, смогут ли злоумышленники Beanstalk обналичить остаток своей нечестно заработанной зарплаты.
Это всего лишь развитие ряда громких эксплойтов децентрализованного финансирования (DeFi), которые произойдут в 2022 году. В прошлом месяце злоумышленник успешно манипулировал ценой токена SUSHI SushiSwap, выбросив на рынок криптовалюту на сумму $13 миллионов.
Атака Beanstalk примечательна своим размером и сложностью.