Algo Stablecoin Protocol Beanstalk skåret ned af Governance Hijack
Algo Stablecoin Protocol Beanstalk skåret ned af Governance Hijack
Meget WP-post-billede "Alt =" BeanStalk-BlockChain "Style =" Margin-Bottom: 15px "Loading =" Lazy ">- En angriber har trukket 24.830 ether og 36 millioner bønne-token til en værdi af omkring $ 180 millioner $
- Angriberen brugte et hul i styringsprocessen for protokollen til at håndhæve et ondsindet "forslag om forbedring".
Beanstalk Farms, der kaldes "en decentral lånbaseret stabil møntprotokol", blev brugt til papirtab på omkring $ 180 millioner på søndag-årets sidste Defi Hack.
Dette gør det til det femte største protokoludnyttelse på sporingsstedet rekt-bensenlist og den næststørste i år efter den massive ronin-bridge-hack i marts. Sikkerhedsfirma PeckShield først rapporteret
Som med Ronin -udnyttelsen består de fleste stjålne midler af ether, som angriberen hurtigt indledte til databeskyttelsesprotokollen tornado kontanter for at skjule tokens oprindelse.
Gruppen bekræftede udnyttelsen i betragtning af
Beanstalk havde for nylig fejret en milepæl og opnået $ 100 millioner af Born tokens. En bønne skal svare til en amerikansk dollar, men i modsætning til stabile mønter, der er dækket af fiat eller kryptosikkerhed, anvendte et nyt system et nyt system med økonomiske incitamenter til at opretholde dets binding ved hjælp af lån i stedet for at overmægtig
Protokollen blev underkastet en revision af blockchain-sikkerhedsekspert Omniscia, men virksomheden gav et post-mortem-analysisalyse At produktionskoden blev påvirket af udnyttelsen afviget fra det, virksomheden havde kontrolleret.
Udviklerne nægtede denne konto under et liv borgernes forsamling søndag.
"Vi er ikke i branchen med fingrene for at vise andre [men] vi kiggede på den rapport, du har offentliggjort, og troede ikke, at det var en reel rapport om, hvad der skete," sagde hovedudvikleren.
Omniscia pegede på en "regeringsfejl, der er modtagelig for flashlån", som gjorde det muligt for angriberen at foreslå et ondsindet regeringsforslag og derefter håndhæve dem, hvilket effektivt trækker alle aktiver i protokollen i angriberens tegnebog.
Tricket var at bruge et massivt lyn-kredit-til at låne enorme summer, der skal tilbagebetales inden for den samme transaktion-og for at undgå den sædvanlige livscyklus for et regeringsforslag. I en smule defi -magi ved hjælp af lånte stabile mønter til en værdi af 1,04 milliarder dollars, erhvervede angriberen kort et super flertal af protokollens stemmerettigheder, der straks blev rettet til at udføre ondsindet kode.
"Beanstalk -protokollen understøttede protokolopgraderingerne om dens beanstalk ICROVEMENT -forslag (BNP) styringsmekanisme, og som sådan var det muligt, at en opgradering udførte vilkårlig kode, hvor angriberen var i stand til at kalde sine blokerede fonde som en del af hans ondsindede opdatering." Omniscia.
En 24-timers ventetid var, men det fornærmende BNP blev forklædt som et tilbud om at donere midler til støtte for Ukraine og kvalt forsinkelsestiden, før en koordinering med et super flertal ville være effektiv.
"Vi fandt det meget underligt, men vi vidste naturligvis ikke, hvad der foregik, hvilket angreb var i gang," forklarede udviklerne under rådhuset.
"Vi gør alt, hvad vi kan for at finde ud af, hvem der gjorde det og sætte dem i retten."
Efter udnyttelsen mistede bønnetællingen af protokollen straks 90 %, og effektivt blev alle andre aktiver, inklusive dem, der blev brugt af angriberen, likvideret, hvilket førte til et nettoresultat på omkring 75 millioner dollars i ether og andre tokens.
Ifølge Peckshield sendte Hacker USDC, værd $ 250.000, en adresse til støtte for Ukraine.
4/De oprindelige middel til at starte hacket trækkes @synapseprotoCol resultering er betal "Nofollow NoOpener" Target = "_ blank" href = "https://twitter.com/tornadocash?ref_src=twsrc%5etfw"> @tornadocash . I øjeblikket forbliver 15.154 ETH på hackerens konto. Bemærk, at hackeren donerer 250.000 USDC til Ukraine Crypto Donation. pic.twitter.com/jbjuj0jbgj
- Peckshield Inc. (@PeckShield) 17. april 2022
frø af håb
På trods af katastrofen er udviklerne af protokollen enige om at fortsætte med at arbejde på projektet.
meget i dag er en dårlig dag, men det er ikke slutningen. Vi blev overvældet af støtten fra vores samfund i morges. Vejen frem er uklar, men målet har aldrig været så klart.
- publius (@isthispuplius) 17. april 20222247123971? Ref_src = twsrc%5etfw "> 17. april 20222
Dette er ikke første gang, at flashlån bruges i en defi -udnyttelse. Cream Finance blev stjålet med $ 130 millioner sidste år. Dette førte til, at hans styringstokencreme kollapsede af 70 %-fra fra det, det aldrig kom sig tilbage.
I modsætning til andre hacks af høj kvalitet, såsom udnyttelse af Solana Wurmloch-broen, har Beanstalk ikke en risikokapital, hvilket muligvis kan være en redningsoperation til rekapitalisering af systemet.
Beanstalk -teamet svarede ikke straks mandag på en anmodning om kommentar.
. .
Bidraget Algo Stablecoin Protocol Beanstalk nedskåret af Governance Hijack er ikke et økonomisk rådgivning.
Kommentare (0)