Protokol DeFi Beanstalk Farms kehilangan lebih dari $ 180 juta untuk pemain jahat karena eksploitasi pada 17 April yang memungkinkan peretas untuk meloloskan proposal tata kelola.
Grafik EthereumBerbasis stablecoin eksploitasi protokol membuat beberapa token hilang dan melihat stablecoin yang dipatok dolar AS turun di bawah tanda $1.
Pohon kacang mengalami eksploitasi hari ini.
Tim Kebun Pohon Kacang sedang menyelidiki serangan tersebut dan akan membuat pengumuman kepada komunitas sesegera mungkin.
— Peternakan Pohon Kacang (@BeanstalkFarms) 17 April, 2022
Protokol kacang dieksploitasi
Perusahaan keamanan Blockchain PeckPerisai pertama kali melaporkan peretasan di Twitter dan berkata hacker mencuri lebih dari $80 juta dengan mengeksploitasi Beanstalk Farms.
1 / The @BeanstalkFarms dieksploitasi dalam kebingungan txs (https://t.co/PMsdP5dnJG dan https://t.co/wyHe3ARZgU),
mengarah ke keuntungan $80+M untuk peretas (Kerugian protokol mungkin lebih besar), termasuk 24,830 ETH dan 36M BEAN.- PeckShield Inc. (@peckshield) 17 April, 2022
Peretas menggunakan pinjaman kilat untuk mendapatkan token Beanstalk STALK dalam jumlah besar, yang memberi mereka cukup suara untuk meloloskan proposal tata kelola yang menghabiskan semua dana pada protokol ke dompet peretas.
Peretas kemudian membayar kembali pinjaman kilat dari Aave, Tidak bertukar tempat V2, dan Sushiwap dan mengonversi dana menjadi Wrapped ETH. Dana yang dicuri kemudian dikirim melalui mixer Tornado Cash. Peretas juga menyumbangkan beberapa kripto curiannya ke Ukraina.
4/ Dana awal untuk meluncurkan peretasan ditarik dari @SynapseProtocol dan sebagian besar keuntungan hasil disimpan ke @Tornado. Saat ini 15,154 ETH masih tersimpan di akun peretas. Perhatikan peretas menyumbangkan 250k USDC ke Donasi Crypto Ukraina. pic.twitter.com/jBjUJ0JbGj
- PeckShield Inc. (@peckshield) 17 April, 2022
Eksploitasi pinjaman kilat adalah hal biasa
Eksploitasi Beanstalk Farms tidak terlaludia pertama kali penyerang telah mengeksploitasi pinjaman kilat. Menurut ringkasan serangan yang diposting di server Perselisihan Pohon Kacang, eksploitasi terjadi karena Pohon Kacang gagal untuk:
“Gunakan ukuran tahan pinjaman cepat untuk menentukan % Stalk yang telah memilih mendukung BIP.”
1/5
Populer baru @beanstalkfarms protokol kehilangan $ 181 juta + dalam eksploitasi hari ini, tetapi penyerang hanya memperoleh $ 76 juta.
Mari kita cari tahu apa yang terjadi? pic.twitter.com/sRjzAF8stE
- Igor Igamberdiev (@FrankResearcher) 17 April, 2022
Perusahaan Keamanan blockchain yang bertanggung jawab untuk mengaudit kontrak pintar Beanstalk, Omnicia, mengatakan Beanstalk meluncurkan kode dengan kerentanan pinjaman flash setelah auditnya. Itu ditambahkan di analisis postmortem serangan bahwa itu belum mengaudit kode yang dieksploitasi.
Mengingat prevalensi eksploitasi pinjaman kilat di ruang DeFi, mengejutkan bahwa Pohon Kacang memperkenalkan kode tanpa audit yang tepat.
Selain itu, ada kekhawatiran tentang apakah protokol akan mengganti biaya pengguna. Beanstalk Farms mengatakan akan memberikan lebih banyak pembaruan pada pertemuan balai kota berikutnya.
Peretasan datang hanya beberapa minggu setelah eksploitasi jembatan Ronin kalah $600 juta untuk Axie Infinity pada bulan Maret.
Sementara itu, penggunaan Tornado Cash oleh para peretas telah menimbulkan kritik karena kurangnya upaya dalam mencegah penipuan. Tdia ETH mixer baru-baru ini mengatakan menggunakan kontrak Chainanalysis Oracle untuk blok alamat yang disetujui oleh Office of Foreign Assets Control (OFAC) untuk menggunakan layanannya.
Tornado Cash menggunakan @rantai kontrak oracle untuk memblokir alamat yang disetujui OFAC agar tidak mengakses dapp.
Menjaga privasi finansial sangat penting untuk menjaga kebebasan kita, namun, hal itu tidak boleh mengorbankan ketidakpatuhan.https://t.co/tzZe7bVjZt— ?️ Tornado.cash ?️ (@TornadoCash) 15 April, 2022
Sumber: https://cryptoslate.com/defi-protocol-beanstalk-loses-180m-in-exploit-hacker-gains-80m/