Protokolli DeFi Beanstalk Farms humbi mbi 180 milionë dollarë për lojtarët me qëllim të keq për shkak të një shfrytëzimi më 17 prill që lejoi një haker të kalonte një propozim qeverisjeje.
La Ethereumme bazë stablecoin shfrytëzimi i protokollit la disa argumente të munguara dhe pa monedhën e tij të qëndrueshme të lidhur me dollarin amerikan bie nën shenjën $1.
Beanstalk pësoi një shfrytëzim sot.
Ekipi Beanstalk Farms po heton sulmin dhe do të bëjë një njoftim për komunitetin sa më shpejt të jetë e mundur.
— Fermat e Beanstalk (@BeanstalkFarms) Prill 17, 2022
Protokolli i fasuleve është shfrytëzuar
Kompania e sigurisë Blockchain PeckShield fillimisht raportoi hakimin në Twitter dhe tha a hakeri vodhi më shumë se 80 milionë dollarë duke shfrytëzuar Beanstalk Farms.
1 / The @BeanstalkFarms u shfrytëzua në një turmë txs (https://t.co/PMsdP5dnJG https://t.co/wyHe3ARZgU),
duke çuar në fitimin prej 80+ milion dollarë për hakerin (Humbja e protokollit mund të jetë më e madhe), duke përfshirë 24,830 ETH dhe 36 milion BEAN.- PeckShield Inc. (@peckshield) Prill 17, 2022
Hakeri përdori kredi flash për të marrë një sasi të madhe të argumenteve Beanstalk STALK, të cilat u dhanë atyre fuqi të mjaftueshme votimi për të kaluar një propozim qeverisjeje që derdhi të gjitha fondet në protokoll në portofolin e hakerit.
Më pas hakeri i ktheu kreditë flash nga Aave, Pa pagesë V2, dhe Sushiwap dhe i konvertoi fondet në ETH të mbështjellë. Fondet e vjedhura u dërguan më pas përmes mikserit Tornado Cash. Hakeri gjithashtu dhuroi disa nga kriptomat e tij të vjedhura në Ukrainë.
4/ Tërhiqen fondet fillestare për të nisur hakimin @SynapseProtocol dhe shumica e fitimeve të rezultateve depozitohen në @TornadoCash. Aktualisht 15,154 ETH mbeten ende në llogarinë e hakerit. Vini re se hakeri dhuron 250 mijë USDC për Donacionin e Kriptove në Ukrainë. pic.twitter.com/jBjUJ0JbGj
- PeckShield Inc. (@peckshield) Prill 17, 2022
Shfrytëzimi i huasë së shpejtë janë të zakonshme
Shfrytëzimi i Beanstalk Farms nuk është thera e parë që sulmuesit kanë shfrytëzuar kreditë e shpejta. Sipas përmbledhjes së sulmit të postuar në serverin Beanstalk Discord, shfrytëzimi ndodhi sepse Beanstalk dështoi të:
"Përdorni një masë rezistente ndaj kredisë së shpejtë për të përcaktuar përqindjen e Stalk që kishte votuar në favor të BIP."
1/5
E reja popullore @beanstalkfarms Protokolli humbi 181 milion dollarë + në shfrytëzimin e sotëm, por sulmuesi fitoi vetëm 76 milion dollarë.
Le të kuptojmë se çfarë ndodhi? pic.twitter.com/sRjzAF8stE
- Igor Igamberdiev (@FrankResearcher) Prill 17, 2022
Firma e sigurisë blockchain përgjegjëse për auditimin e kontratave inteligjente të Beanstalk, Omnicia, tha se Beanstalk lançoi kodin me cenueshmërinë e kredisë flash pas auditimit të saj. Është shtuar në a analiza pas vdekjes të sulmit se ende nuk kishte audituar kodin e shfrytëzuar.
Duke pasur parasysh prevalencën e shfrytëzime të kredive të shpejta në hapësirën DeFi, është e habitshme që Beanstalk prezantoi kodin pa auditimin e duhur.
Përveç kësaj, ka shqetësime nëse protokolli do t'i rimbursojë përdoruesit. Beanstalk Farms tha se do të sigurojë më shumë përditësime në mbledhjen e ardhshme të bashkisë.
Hakimi vjen vetëm disa javë pas shfrytëzimit të urës Ronin humbur gjatë 600 milionë dollarë në Axie Infinity në mars.
Ndërkohë, përdorimi i Tornado Cash nga hakerët ka shkaktuar kritika për mungesën e përpjekjeve të tij në parandalimin e mashtrimit. Tai mikser ETH tha së fundmi se po përdor kontratën Chainanalysis Oracle për të bllok adresat e sanksionuara nga Zyra e Kontrollit të Pasurive të Huaja (OFAC) nga përdorimi i shërbimeve të saj.
Tornado Cash përdor @chainlysis kontrata oracle për të bllokuar adresat e sanksionuara nga OFAC nga aksesi në dap.
Ruajtja e privatësisë financiare është thelbësore për ruajtjen e lirisë sonë, megjithatë, ajo nuk duhet të vijë me koston e mospërputhjes.https://t.co/tzZe7bVjZt— ?️ Tornado.cash ?️ (@TornadoCash) Prill 15, 2022
Burimi: https://cryptoslate.com/defi-protocol-beanstalk-loses-180m-in-exploit-hacker-gains-80m/