Ang DeFi protocol na Beanstalk Farms ay nawalan ng mahigit $180 milyon sa mga malisyosong manlalaro dahil sa pagsasamantala noong Abril 17 na nagbigay-daan sa isang hacker na makapasa ng panukala sa pamamahala.
Ang Ethereumna nakabatay sa stablecoin Ang pagsasamantala ng protocol ay nag-iwan ng ilang mga token na nawawala at nakita ang US dollar-pegged na stablecoin nito bumaba sa ibaba ng $1 na marka.
Ang Beanstalk ay nagdusa ng pagsasamantala ngayon.
Ang koponan ng Beanstalk Farms ay nag-iimbestiga sa pag-atake at gagawa ng anunsyo sa komunidad sa lalong madaling panahon.
— Beanstalk Farms (@BeanstalkFarms) Abril 17, 2022
Beans protocol na pinagsamantalahan
Blockchain na kumpanya ng seguridad PeckShield unang nag-ulat ng hack sa Twitter at sinabing a Ang hacker ay nagnakaw ng higit sa $80 milyon sa pamamagitan ng pagsasamantala sa Beanstalk Farms.
1 / The @BeanstalkFarms ay pinagsamantalahan sa isang kaguluhan ng mga tx (https://t.co/PMsdP5dnJG at https://t.co/wyHe3ARZgU),
humahantong sa pagkakaroon ng $80+M para sa hacker (Maaaring mas malaki ang pagkawala ng protocol), kasama ang 24,830 ETH at 36M BEAN.- PeckShield Inc. (@peckshield) Abril 17, 2022
Gumamit ang hacker ng mga flash loans para makakuha ng malaking halaga ng Beanstalk STTALK token, na nagbigay sa kanila ng sapat na kapangyarihan sa pagboto upang makapasa ng panukala sa pamamahala na nag-drain ng lahat ng pondo sa protocol sa wallet ng hacker.
Pagkatapos ay binayaran ng hacker ang mga flash loans mula sa Kumuha, Uniswap V2, at Sushiwap at na-convert ang mga pondo sa Wrapped ETH. Ang mga ninakaw na pondo ay ipinadala sa pamamagitan ng Tornado Cash mixer. Ibinigay din ng hacker ang ilan sa kanyang ninakaw na crypto sa Ukraine.
4/ Ang mga paunang pondo para ilunsad ang hack ay binawi @SynapseProtocol at karamihan sa mga natamo ng resulta ay idineposito sa @TornadoCash. Sa kasalukuyan, 15,154 ETH ang nananatili pa rin sa account ng hacker. Tandaan na ang hacker ay nag-donate ng 250k USDC sa Ukraine Crypto Donation. pic.twitter.com/jBjUJ0JbGj
- PeckShield Inc. (@peckshield) Abril 17, 2022
Ang mga pagsasamantala sa flash loan ay karaniwan
Ang pagsasamantala ng Beanstalk Farms ay hindi tunang beses niyang sinamantala ng mga umaatake ang mga flash loans. Ayon sa buod ng pag-atake na nai-post sa server ng Beanstalk Discord, nangyari ang pagsasamantala dahil nabigo ang Beanstalk na:
"gumamit ng flash loan resistant measure para matukoy ang % ng Stalk na bumoto pabor sa BIP."
1/5
Ang bagong sikat @beanstalkfarms protocol ay nawalan ng $181M+ sa pagsasamantala ngayon, ngunit ang umaatake ay nakakuha lamang ng $76M.
Alamin natin kung ano ang nangyari? pic.twitter.com/sRjzAF8stE
- Igor Igamberdiev (@FrankResearcher) Abril 17, 2022
Ang blockchain Security firm na responsable sa pag-audit ng Beanstalk smart contracts, Omnicia, ay nagsabi na inilunsad ng Beanstalk ang code na may kahinaan sa flash loan pagkatapos ng pag-audit nito. Idinagdag nito sa a pagsusuri ng postmortem ng pag-atake na hindi pa nito na-audit ang pinagsasamantalahang code.
Dahil sa paglaganap ng mga pagsasamantala ng flash loans sa DeFi space, nakakagulat na ipinakilala ng Beanstalk ang code nang walang wastong pag-audit.
Bilang karagdagan, may mga alalahanin tungkol sa kung ibabalik ng protocol ang mga user. Sinabi ng Beanstalk Farms na magbibigay ito ng higit pang mga update sa susunod nitong pagpupulong ng town hall.
Dumating ang hack ilang linggo pagkatapos ng pagsasamantala ng tulay ng Ronin nawala sa ibabaw $600 milyon sa Axie Infinity noong Marso.
Samantala, ang paggamit ng Tornado Cash ng mga hacker ay nagbigay ng batikos sa kawalan nito ng pagsisikap sa pagpigil sa pandaraya. TKamakailan ay sinabi ng ETH mixer na ginagamit nito ang kontrata ng Chainanalysis Oracle sa harangan ang mga address na pinahintulutan ng Office of Foreign Assets Control (OFAC) mula sa paggamit ng mga serbisyo nito.
Gamit ng Tornado Cash @chainlysis kontrata ng oracle upang harangan ang mga address na sinanction ng OFAC mula sa pag-access sa dapp.
Ang pagpapanatili ng pagkapribado sa pananalapi ay mahalaga sa pagpapanatili ng ating kalayaan, gayunpaman, hindi ito dapat maging kapalit ng hindi pagsunod.https://t.co/tzZe7bVjZt— ?️ Tornado.cash ?️ (@TornadoCash) Abril 15, 2022
Pinagmulan: https://cryptoslate.com/defi-protocol-beanstalk-loses-180m-in-exploit-hacker-gains-80m/