Algo Stablecoin Protocol Beanstalk, изсечен от отвличане на управлението

Algo Stablecoin Protocol Beanstalk, изсечен от отвличане на управлението

• Нападателят е приспаднал 24 830 етер и 36 милиона боб на стойност около 180 милиона долара
• Нападателят използва пропаст в процеса на управление на протокола, за да наложи злонамерено „предложение за подобрение“.

Beanstalk Farms, който се нарича "децентрализиран протокол за стабилни монети, базиран на заем", е използван за загуби от хартия от около 180 милиона долара в неделя-последният дефиниращ хак на годината.

Това го прави петият най-голям протокол експлоатация на сайта за проследяване rekt-bestenlist и втората по големина тази година след масивния Ronin-Bridge-Hack в март. "_ Празен" href = "https://twitter.com/peckshield/status/151568033576945640"> Първо отчетено

Както при експлоатацията на Ронин, повечето откраднати фондове се състоят от етер, който нападателят бързо инициира в протокола за защита на данните Tornado Cash, за да затъмни произхода на жетоните.

Групата потвърди експлоатацията с оглед на

Beanstalk наскоро отпразнува крайъгълен камък и постигна 100 милиона долара родени жетони. Бейн трябва да съответства на щатски долар, но за разлика от стабилни монети, обхванати от Fiat или Crypto Safety, нова система използва нова система от финансови стимули, за да поддържа обвързването си, като използва заеми, вместо да надвиши

Протоколът беше подложен на одит на блокчейн експерта по сигурността Omniscia, но компанията даде в A A

разработчиците отрекоха този акаунт по време на живот Асамблея на гражданите неделя.

"Ние не сме в бизнеса с пръсти, за да покажем на другите [но] разгледахме доклада, който сте публикували и не вярвахме, че това е истински доклад за случилото се", заяви основният разработчик.

omniscia посочи „грешка в управлението, която е податлива на светкавични заеми“, която даде възможност на нападателя да предложи предложение за злонамерено управление и след това да ги наложи, което ефективно изтегля всички активи на протокола в портфейла на нападателя.

Трикът беше да се използва мащабен мълния за мълния, за да се вземе огромни суми, които трябва да бъдат изплатени в рамките на една и съща транзакция-за да се избегне обичайният жизнен цикъл на предложението за управление. В малко дефи магия, използвайки заемни стабилни монети на стойност 1,04 милиарда щатски долара, нападателят накратко придоби супер мнозинство от правата за гласуване на протокол, който беше насочен да извърши злонамерен код незабавно.

"Протоколът на BeanStalk подкрепи подобренията на протоколите относно механизма за управление на предложението за отбор на BeanStalk (БВП) и като такъв беше възможно надграждането да извърши произволен код, при който нападателят успя да извика блокираните си средства като част от злонамерената си актуализация." Omniscia.

24-часовият период на изчакване беше, но обидният БВП беше прикрит като предложение за даряване на средства за подкрепа на Украйна и удуши времето за забавяне, преди координацията със супер мнозинство да бъде ефективна.

"Намирахме се за много странно, но очевидно не знаехме какво става, което беше в ход", обясниха разработчиците по време на кметството.

"Ще направим всичко възможно, за да разберем кой го е направил и да ги поставим в съда."

След експлоатацията бобът на протокола веднага загуби 90 % и ефективно всички останали активи, включително тези, използвани от нападателя, бяха ликвидирани, което доведе до нетна печалба от около 75 милиона долара в етер и други жетони.

<фигура class = "align center">

Според Peckshield, хакерът USDC на стойност 250 000 долара изпрати адрес в подкрепа на Украйна.