Algo StableCoin protokolo Beanstalk sumažintas valdymo pagrobimas
Algo StableCoin protokolo Beanstalk sumažintas valdymo pagrobimas
- Užpuolikas išskaičiavo 24 830 eterį ir 36 milijonus pupelių, kurių vertė siekia apie 180 milijonų dolerių
- Užpuolikas panaudojo protokolo valdymo proceso spragą, kad įgyvendintų kenksmingą „pasiūlymą tobulinti“.
„Beanstalk Farms“, kuris vadinamas „decentralizuotu paskolų pagrindu sukurtu stabilios monetų protokolu“, buvo naudojamas maždaug 180 mln.
Tai daro jį penktą pagal dydį protokolo išnaudojimą stebėjimo svetainėje Rekt --estenlist ir antras pagal dydį šiais metais po„ Masyvi RONIN-BRIDGE-HACK “. „_ Blank“ href = “https://twitter.com/peckshield/status/151568033576945640“> pirmą kartą pranešta
Kaip ir „Ronin Exploit“, daugumą pavogtų fondų sudaro eteris, kurį užpuolikas greitai inicijavo į duomenų apsaugos protokolo tornado grynuosius pinigus, kad užtemdytų žetonų kilmę.
Grupė patvirtino išnaudojimą , atsižvelgiant į
„Beanstalk“ neseniai šventė etapą ir pasiekė 100 milijonų dolerių gimusių žetonų. Pupelė turėtų atitikti JAV dolerį, tačiau, priešingai nei stabilios monetos, kurioms taikoma „Fiat“ ar kriptovaliutų sauga
Protokolui buvo atliktas „blockchain“ saugumo eksperto omniscia auditas, tačiau įmonė davė a posttortem-potem-analys-a06667ee0ca9d "> posttortem-antem-analys-a Kad gamybos kodeksui paveikė išnaudojimas, nukrypęs nuo to, ką patikrino įmonė.
Kūrėjai neigė šią sąskaitą per gyvybes Citizenens 'Assemble sekmadienis.
"Mes ne versle pirštais, norėdami parodyti kitiems [bet] mes pažvelgėme į jūsų paskelbtą ataskaitą ir netikėjome, kad tai buvo tikras pranešimas apie tai, kas įvyko", - sakė pagrindinis kūrėjas.
Omniscia atkreipė dėmesį į „valdymo klaidą, kuri yra jautri blykstės paskoloms“, kuri leido užpuolikui pasiūlyti kenkėjišką valdymo pasiūlymą ir paskui juos įgyvendinti, kuris veiksmingai atsiima visą protokolo turtą užpuoliko piniginėje.
Triukas buvo panaudoti didžiulę žaibišką kreditą skolintis didžiules sumas, kurios turi būti grąžintos per tą patį sandorį ir išvengti įprasto valdymo pasiūlymo gyvenimo ciklo. Šiek tiek „Defi Magic“, naudojant pasiskolintas stabilias monetas, kurių vertė 1,04 milijardo JAV dolerių, užpuolikas trumpai įsigijo didžiąją dalį protokolo balsavimo teisių, kurioms buvo liepta nedelsiant atlikti kenksmingą kodą.
"Beanstalk protokolas palaikė jo„ Beanstalk Icrovement “pasiūlymo (BVP) valdymo mechanizmo protokolo atnaujinimus, ir todėl buvo įmanoma, kad atnaujinimas įvykdė savavališką kodą, pagal kurį užpuolikas galėjo iškviesti savo užblokuotas lėšas kaip dalį jo kenkėjiško atnaujinimo". Omniscia.
24 valandų laukimo laikotarpis buvo, tačiau įžeidžiantis BVP buvo paslėptas kaip pasiūlymas paaukoti lėšas Ukrainos palaikymui, ir pasmaugė vėlavimo laiką, kol koordinavimas su aukščiausia dauguma būtų veiksmingi.
"Mums pasirodė labai keista, tačiau, aišku, nežinojome, kas vyksta, o kas vyko išpuoliai", - rotušės metu aiškino kūrėjai.
"Mes padarysime viską, ką galime, kad sužinotume, kas tai padarė, ir pateikė juos teisme".
Po išnaudojimo protokolo pupelių pasakojimas iš karto prarado 90 % ir iš tikrųjų visą kitą turtą, įskaitant užpuoliko naudojamą asmenį, buvo likviduoti, o tai lėmė maždaug 75 mln.
Pasak „Peckshield“, „Hacker USDC“, kurio vertė 250 000 USD, atsiuntė adresą palaikyti Ukrainą.
4/Pradinė įsilaužimo pradžios priemonė yra išskaičiuojamos @synapseProtocol REATONS ANTRO PAGRINDINIAI = „REATON“ INST = REACIJOS INST = RELOCIJOS Noopener "Target =" _ Blank "href =" https://twitter.com/tornadocash?ref_src=twsrc%5etfw "> @tornadocash . Šiuo metu įsilaužėlių sąskaitoje lieka 15 154 ETH. Atminkite, kad „Hacker“ paaukoja 250 000 USDc Ukrainos kriptovaliutų donorystei. pic.twitter.com/jbjuj0jbgj
- „Peckshield Inc.“ (@peckshield) 17. 2022 2022 17. 2022 m.
Vilties sėkla
Nepaisant katastrofos, protokolo kūrėjai sutiko toliau dirbti su projektu.
Šiandien yra bloga diena, tačiau tai nėra pabaiga. Šį rytą mus užvaldė mūsų bendruomenės palaikymas. Kelias į priekį neaišku, tačiau tikslas niekada nebuvo toks aiškus.
- pubius (@isthispuPlius) 17. 2022 m.
Rotušės metu ir panašiai Grupės nesantaika padarė slapyvardžių komandą, kad atliktų neeilinius žingsnius, kad atskleistų savo tapatybę ir savo ketinimus dirbti su teisėsaugos veiksmais.
Tai nėra pirmas kartas, kai „Flash“ paskolos naudojamos DEFI išnaudojime. „Cream Finance“ pernai buvo pavogtas 130 milijonų dolerių. Tai lėmė jo valdymo žetonų kremą, kurį žlugo 70 %-nuo jo niekada neatsigavo.
Priešingai nei kiti aukštos kokybės įsilaužimai, tokie kaip Solana Wurmloch tilto išnaudojimas, „Beanstalk“ neturi rizikos kapitalo, kuris gali būti gelbėjimo operacija, skirta atnaujinti sistemą.
„Beanstalk“ komanda pirmadienį ne iš karto atsakė į prašymą komentuoti.
. .
„Algo StableCoin“ protokolo „Beanstalk“, kurį sumažino valdymo pagrobimas, indėlis nėra finansinė konsultacija.
Kommentare (0)