Giao thức stablecoin dựa trên tín dụng Beanstalk Farms mất tất cả tài sản thế chấp 182 triệu đô la của nó từ một vi phạm an ninh gây ra bởi hai đề xuất quản trị nham hiểm và một cuộc tấn công cho vay flash.
Vấn đề đối với giao thức được gieo hạt bởi các đề xuất quản trị đáng ngờ BIP-18 và BIP-19 được phát hành vào ngày 16 tháng 4 bởi người khai thác yêu cầu giao thức quyên góp quỹ cho Ukraine. Tuy nhiên, những đề xuất đó có một người lái độc hại gắn liền với họ, cuối cùng đã tạo ra dòng vốn từ giao thức theo kiểm toán viên hợp đồng thông minh BlockSec.
This latest security breach of a decentralized finance (DeFi) protocol took place at 12:24 pm UTC. At that time, the exploiter took out $1 billion in flash loans from the AAVE (AAVE) protocol denominated in DAI (DAI), USD Coin (USDC), and Tether (USDT) stablecoins. They used these funds to accumulate enough assets to take over 67% of the protocol’s governance and approve their own proposals.
Chúng tôi đang tham gia mọi nỗ lực để cố gắng tiến lên phía trước. Là một dự án phi tập trung, chúng tôi đang yêu cầu cộng đồng DeFi và các chuyên gia về phân tích chuỗi để giúp chúng tôi hạn chế khả năng rút tiền của người khai thác qua CEXes. Nếu người khai thác mở cửa cho một cuộc thảo luận, chúng tôi cũng vậy.
https://t.co/fwceVz6hbi – Đậu Farms (@BeanstalkFarms) 17 Tháng Tư, 2022
A flash loan must be executed and repaid within a single block and usually calls on several smart contracts at once to complete. Flash loans have been used in the past to perform hacks or security exploits of other protocols. Beanstalk Farms is a decentralized algorithmic stablecoin issuing platform on Ethereum.
This case was technically not a hack as the smart contracts and governance procedures functioned as designed. Flaws in their design were exploited, which project spokesperson “Publius” acknowledged in a meeting on April 18th when he said:
“ Thật không may là thủ tục quản trị tương tự đặt cây đậu vào vị trí để thành công cuối cùng là hoàn tác của nó.”
Blockchain security analysis firm PeckShield notified the Beanstalk team via Twitter at 12:41pm UTC on April 17 that there might be an issue with the ominous statement: “Hi, @beanstalkFarms, you may want to take a look.”
Our initial analysis shows the @BeanstalkFarms loss is ~$182m ! Here is the breakdown of stolen assets: 79,238,241 BEAN3CRV-f, 1,637,956 BEANLUSD-f, 36,084,584 BEAN, and 0.54 UNI-V2_WETH_BEAN. https://t.co/8OzPn8F8ot
— PeckShield Inc. (@peckshield) April 17, 2022
Tại thời điểm đó, đã quá muộn. Người khai thác đã kiếm được với khoảng 80 triệu đô la trong Ether ( ETH) và Beans (BEAN) trong khi toàn bộ giao thức mất 182 triệu đô la tổng giá trị bị khóa (TVL) theo PeckShield. BEAN hiện đang giảm khoảng 83% giao dịch ở mức $0.17 theo CoinGecko nhưng bị suy giảm ở mức 0,06 đô la khi người khai thác bỏ token của họ.
Người khai thác hoán đổi BEAN lấy ETH và sau đó gửi các đồng tiền đến Tornado Cash để trang trải các bản nhạc kỹ thuật số của họ. Tuy nhiên, họ cũng đã gửi 250.000 USDC đến ví Quyên góp tiền điện tử Ukraine.
Lúc 11:49 chiều UTC ngày 17 tháng 4, Publius viết rằng dự án có khả năng bị mất vì không có sự ủng hộ đầu tư mạo hiểm để bù lại thiệt hại, thêm vào “Chúng tôi đang f**ked.”
In a team and community meeting on the Beanstalk Discord channel on April 18, Publius doxxed the three individuals who developed the project. They are Benjamin Weintraub, Brendan Sanderson, and Michael Montoya, all of whom attended the University of Chicago together and conceived Beanstalk Farms.
Montoya said that the team had reached out to the Federal Bureau of Investigation (FBI) Crime Center and would “fully cooperate with them to track down the perpetrators and recover funds.”
Các hợp đồng thông minh của giao thức đã bị tạm dừng và tất cả các đặc quyền quản trị đã bị thu hồi bởi nhóm.
Related: North Korean Lazarus Group allegedly behind Ronin Bridge hack
The team did not respond when Cointelegraph asked if they believe the FBI has any legal recourse to help them, but Publius believes this is definitely a theft that should be investigated.
Cộng đồng của Beanstalk chủ yếu ủng hộ đội bóng trong thời gian cố gắng mặc dù thiệt hại cá nhân to lớn của chính họ. Tuy nhiên, thành viên cộng đồng “Astrabean” tin rằng nhóm nên chịu nhiều trách nhiệm hơn cho cuộc tấn công hơn là chấp nhận những gì đã xảy ra như một sai lầm trung thực mà dự án phải chuyển từ. Ông tuyên bố rằng “Tôi sẽ muốn bạn với tư cách là nhà lãnh đạo phải chịu trách nhiệm về những gì đã xảy ra.”
Thành viên cộng đồng “CharlieP” lặp lại những lo ngại đó về sự tin tưởng vào giao thức. Anh ấy hỏi nhóm “Bạn có nói rằng bạn không có trách nhiệm về nỗ lực này? Nếu đó là trường hợp, chúng ta là ai để tin tưởng rằng điều này sẽ không xảy ra nữa?”
Publius responded that the project is just an open-source code experiment, not a business and that neither he nor the team should be held accountable for what happened. He added,
“When you ask us to take responsibility, it’s really inappropriate.”
