Algo Stablecoin Protocol Protocol Fanera Zadana przez poręczenie zarządzania

• Atakujący odliczył 24 830 eterów i 36 milionów fasoli o wartości około 180 milionów dolarów
• Atakujący zastosował lukę w procesie zarządzania protokołem, aby egzekwować złośliwą „sugestię poprawy”.

Farmy Beanstalk, które nazywa się „zdecentralizowanym protokołem monet opartych na pożyczkach”, zostały wykorzystane do strat papierowych w wysokości około 180 milionów dolarów w niedzielę-ostatni hack roku defi.

To sprawia, że ​​jest to piąty co do wielkości exploit na stronie śledzenia rekt-bestenlist oraz drugi co do większości w tym roku po masywnym ronin-bridge-hack w marszu. Puste "href =" https://twitter.com/peckshield/status/151568033576945640 "> po raz pierwszy zgłoszone

Podobnie jak w przypadku Exploita Ronina, większość skradzionych funduszy składa się z eteru, które atakujący szybko zainicjował protokół ochrony danych Tornado Cash, aby zaciemnić pochodzenie tokenów.

Grupa potwierdziła exploit Widok

Beanstalk niedawno świętował kamień milowy i osiągnął 100 milionów dolarów urodzonych tokenów. Fasola powinna odpowiadać dolara amerykańskiego, ale w przeciwieństwie do stabilnych monety objętych bezpieczeństwem Fiata lub Crypto, nowy system wykorzystał nowy system zachęt finansowych do utrzymania wiązania za pomocą pożyczek zamiast obezwładnienia papierowa papierowa .

Protokół został poddany audytowi eksperta ds. Blockchain Bezpieczeństwo Omniscii, ale firma podała w post-mortem-analiszy Na kod produkcyjny miał wpływ exploit odchylony od tego, co firma sprawdziła.

Deweloperzy odmówili tego konta podczas życia Zespół obywatelski niedziela.

„Nie jesteśmy w branży z naszymi palcami, aby pokazać innym [ale] spojrzeliśmy na raport, który opublikowałeś i nie wierzyliśmy, że był to prawdziwy raport o tym, co się stało” - powiedział główny programista.

Omnisciia wskazała na „błąd zarządzania, który jest podatny na pożyczki flash”, który umożliwił atakującemu zaproponowanie złośliwej propozycji zarządzania, a następnie ich egzekwowanie, który skutecznie wycofuje wszystkie aktywa protokołu w portfelu atakującego.

Sztuka polegała na użyciu ogromnego kredytu błyskawicznego, aby pożyczyć ogromne kwoty, które należy spłacić w ramach tej samej transakcji i uniknąć zwykłego cyklu życia propozycji zarządzania. W odrobinie magii defi przy użyciu pożyczonych stabilnych monet o wartości 1,04 miliarda dolarów amerykańskich, atakujący krótko nabył super większość praw głosu protokołu, które zostały skierowane do natychmiastowego wykonania złośliwego kodu.

„Protokół Basestalk poparł ulepszenia protokołu dotyczących mechanizmu zarządzania propozycją ICROvement (PKB) i jako takie było możliwe, że uaktualnienie przeprowadziło dowolny kod, w którym atakujący był w stanie wywołać jego zablokowane fundusze w ramach jego złośliwej aktualizacji”. Omniscia.

Był 24-godzinny okres oczekiwania, ale obraźliwy PKB został ukryty jako oferta przekazania funduszy na wsparcie Ukrainy, i uwolnił czas opóźnienia przed koordynacją z super większością byłby skuteczny.

„Uważaliśmy to za bardzo dziwne, ale oczywiście nie wiedzieliśmy, co się dzieje, który atak był w toku” - wyjaśnili deweloperzy podczas ratusza.

„Zrobimy wszystko, co w naszej mocy, aby dowiedzieć się, kto to zrobił i umieścić je w sądzie”.

Po wykorzystaniu, toke fasola protokołu natychmiast stracił 90 % i skutecznie wszystkie pozostałe aktywa, w tym stosowane przez napastnika, zostały zlikwidowane, co doprowadziło do zysku netto w wysokości około 75 milionów dolarów w ether i innych tokenach.

Według Peckshield haker USDC, o wartości 250 000 $, wysłał adres na wsparcie Ukrainy.

4/początkowe środki hacka są odliczone @SynapseProtoCol wyniki są wypłacane w @Tornadocash . Obecnie 15 154 ETH pozostaje na koncie hakera. Zauważ, że haker przekazuje 250 000 USDC na darowiznę kryptograficzną Ukrainy. pic.twitter.com/JBJUJ0JBGJ

- Peckshield Inc. (@PeckShield) kwiecień 2022

ziarno nadziei

Pomimo katastrofy deweloperzy protokołu zgodzili się kontynuować pracę nad projektem.

Dzisiaj jest zły dzień, ale to nie koniec. Dziś rano przytłoczyliśmy wsparcie naszej społeczności. Wrócenie do przodu jest niejasne, ale cel nigdy nie był tak jasny.

- PUBLIUS (@ISTHispuplius) 17 kwietnia 2022

Podczas ratusza i tak dalej Niezgoda grupy Uczyniła pseudonimowy zespół, który podjął świetny krok, aby ujawnić swoją tożsamość i ich zamiar pracy z prawem organu ścigania, aby identyfikować atak ataku.

>

To nie jest pierwszy raz, kiedy pożyczki flash są używane w exploit defi. W ubiegłym roku Cream Finance został skradziony przez 130 milionów dolarów. Doprowadziło to do upadku jego kremu do zarządzania o 70 %-od którego nigdy nie wyzdrowiał.

W przeciwieństwie do innych wysokiej jakości hacków, takich jak wykorzystywanie mostu Solana Wurmloch, Fasestalk nie ma kapitału ryzyka, co może być operacją ratunkową w zakresie dokapitalizacji systemu.

Zespół Beanstalk nie odpowiedział od razu w poniedziałek na prośbę o komentarz.

---

. .

---

Wkład Algo Stablecoin Protocol Protocol Beanstalk Zadane przez porwanie zarządzania nie jest poradą finansową.