Beanstalk Farms jest najnowszym projektem, który padł ofiarą naruszenia bezpieczeństwa, tracąc przy tym całe swoje zabezpieczenie w wysokości 182 milionów dolarów.
Protokół stablecoina opartego na kredytach został zaatakowany przez połączenie dwóch złowrogich propozycji zarządzania i ataku typu flash loan.
Błyskawiczna pożyczka musi zostać zrealizowana i spłacona w jednym bloku, a do jej wykonania wykorzystuje się zazwyczaj kilka inteligentnych kontraktów jednocześnie. Pożyczki flash były w przeszłości wykorzystywane do przeprowadzania włamań lub naruszania bezpieczeństwa innych protokołów. Beanstalk Farms działa w oparciu o Ethereum.
Według firmy PeckShield, zajmującej się bezpieczeństwem blockchain, atakujący potencjalnie uciekł z 24 830 Ethereum (ETH) i 36 mln Bean (BEAN) w wyniku naruszenia.
Beanstalk potwierdza atak
Potwierdzając atak, Beanstalk Farms napisał, że “angażują wszystkie wysiłki, aby spróbować iść naprzód”.
Rzecznik Beanstalk Farms powiedziałŁ
Jako zdecentralizowany projekt, prosimy społeczność DeFi i ekspertów w dziedzinie analityki blockchain, aby pomogli nam ograniczyć zdolność eksploita do wypłacania środków za pośrednictwem CEXów. Jeśli jakiś eksplorator jest otwarty na dyskusję, my również.
Bailout mało prawdopodobny
Od czasu ataku BEAN spadł o 78,3% i jest notowany na poziomie 0,21 USD. Publius, główny członek zespołu na Discordzie, powiedział, że ten incydent może doprowadzić do upadku aktywów:
Ten projekt nie miał żadnego wsparcia venture, więc jest bardzo mało prawdopodobne, że nadejdzie jakikolwiek rodzaj ratunku.
PeckShield opisał naturę ataku, wskazując, że rozpoczął się on od przekazania BIP-18 i BIP-19, które chciały przekazać fundusze na rozdartą wojną Ukrainę.
Zarówno Peckshield, jak i audytor protokołu – BlockSec – zgadzają się, że propozycje zawierały złośliwy kod, którego celem było “wydrenowanie funduszu puli”.
Według Block Sec, atakujący czekał dzień po upływie okresu awaryjnego, aby wywołać polecenie emergencyCommit.
Aby ominąć większość dwóch trzecich głosów, haker wpłacił tokeny do kontraktu Diamond, co pozwoliło mu na zaciąganie pożyczek flash i wpłacanie ich do kontraktu w celu uzyskania siły głosu.
Jedyny w swoim rodzaju atak
Posiadając prawie 79% głosów, atakujący spuścił fundusze w sposób, który został opisany jako atak jedyny w swoim rodzaju. Dane on-chain wskazują, że atakujący wysłał 250 000 USD Coin (USDC) na adres powiązany z ukraińskimi wysiłkami w zakresie darowizn.
Publius powiedział:
Ta sama procedura zarządzania, która umożliwiła Beanstalk odniesienie sukcesu, okazała się ostatecznie zgubna.
Od tamtej pory zespół projektu twierdzi, że nie ponosi winy za atak. Ich stanowisko wzbudziło kontrowersje w społeczności, której członkowie domagali się wzięcia odpowiedzialności za incydent. Publius powiedział:
Kiedy żądacie od nas wzięcia odpowiedzialności, to jest to naprawdę niestosowne.
Argumentował, że Beanstalk Farms jest projektem o otwartym kodzie źródłowym i nie jest prowadzony jako firma, więc zespół powinien być zwolniony z odpowiedzialności za wszelkie wykroczenia.
Wyjaśnienie
Wszystkie informacje zawarte na naszej stronie internetowej są publikowane w dobrej wierze i wyłącznie w ogólnych celach informacyjnych. Wszelkie działania podejmowane przez czytelnika w związku z informacjami znajdującymi się na naszej stronie internetowej odbywają się wyłącznie na jego własne ryzyko.
