Plus tôt cette semaine, le projet de stablecoin basé sur Ethereum Beanstalk Farms a subi des pertes totalisant 182 millions de dollars après avoir été victime d’un exploit de gouvernance.
C’est le seconde Le protocole DeFi connaît une faille de sécurité depuis le début de ce mois. Les attaquants ont vidé Beanstalk Farms de tous ses fonds de garantie et le prix du jeton a chuté peu de temps après. Le stablecoin BEAN a perdu environ 86% de sa valeur qui se situait à l’origine à 1 $.
Comment l’attaque s’est-elle produite ?
Derrière la brèche se trouvaient 2 propositions de gouvernance suspectes ainsi qu’une attaque de prêt éclair. Les prêts flash sont une nouvelle forme de prêt qui utilise des contrats intelligents pour faciliter les prêts non garantis. La particularité de ce système est que l’échange doit être effectué en un seul bloc.
Le hacker Beanstalk a contracté un prêt de 1 milliard de dollars auprès de la plateforme de prêt AAVE basée sur Ethereum à 12h24 UTC. Avec ces fonds, ils ont pu obtenir une grande quantité de jetons de gouvernance indigène de Beanstalk Farms. Cette décision leur a permis de contrôler environ 67 % de la gouvernance du projet.
Suite à cela, ils ont pu approuver les 2 propositions malveillantes qu’ils avaient émises. À savoir, le BIP-18 et le BIP-19, ces propositions semblaient relativement innocentes, demandant des dons pour l’Ukraine dans sa guerre en cours. Après l’approbation, l’attaquant a ensuite vidé les fonds de garantie dans un portefeuille externe.
Le prêt flash comprenait des pièces stables USD Coin (USDC), Dai (DAI) et Tether (USDT). Dans un Rapport Twitter à propos de l’exploit, la société de sécurité blockchain PeckShield a décomposé le butin de l’attaquant. Ils ont pu voler 24 830 jetons Ethereum natifs (ETH) en plus de 36 millions de Bean (BEAN).
L’entreprise de sécurité a noté l’attaque et a alerté Beanstalk. Ils ont également souligné que l’attaquant avait envoyé 250 000 USDC à une adresse de portefeuille recevant des fonds de secours pour l’Ukraine.
La réponse de l’équipe Beanstalk
Après l’attaque, Beanstalk tweeté sa confirmation notant qu’une enquête était déjà en cours et qu’une annonce officielle était à venir. Ils plus tard partagé qu’ils travaillaient pour aller de l’avant après l’exploit.
Beanstalk a subi un exploit aujourd’hui.
L’équipe de Beanstalk Farms enquête sur l’attaque et fera une annonce à la communauté dès que possible.
— Fermes de haricot magique (@BeanstalkFarms) 17 avril 2022
L’équipe a refusé de confirmer si les utilisateurs recevront un remboursement, Publius, l’un des chefs de projet, a partagé plus d’informations sur Discord. Le Beanstalk explicite n’est techniquement pas un hack car l’attaquant a exploité certaines ouvertures du système qui ont fonctionné comme prévu.
Publius a reconnu et déploré cela, soulignant également que cela pourrait conduire à l’effondrement du projet. Beanstalk n’est soutenu par aucun capital-risqueur et n’a donc aucun renflouement en vue. Plus d’informations sur le remboursement seront distribuées lors d’un événement à l’hôtel de ville prévu dimanche.
Les développeurs ont depuis été doxxés, à savoir Benjamin Weintraub, Brendan Sanderson et Michael Montoya. Montoya a partagé avec la communauté du projet qu’ils avaient contacté le FBI et aideraient leurs efforts d’enquête avec une coopération totale.
Fait intéressant, l’équipe s’est déclarée irréprochable dans l’attaque. Cela a déclenché un tollé dans la communauté avec Publius arguant qu’il était inapproprié de s’attendre à ce qu’ils prennent leurs responsabilités. Le porte-parole a déclaré que l’équipe ne pouvait être tenue pour responsable.
Beanstalk Farms était un protocole open source que l’équipe ne gérait pas en tant qu’entreprise, a-t-il déclaré. Comme indiqué précédemment, il s’agit d’un autre ajout à une série d’attaques contre les protocoles DeFi ces derniers temps. Il est intéressant de noter que les prêts flash sont devenus encore plus populaires ces derniers temps en tant qu’outil permettant aux pirates de réaliser des exploits.