Le protocole DeFi Beanstalk Farms a perdu plus de 180 millions de dollars au profit de joueurs malveillants en raison d’un exploit le 17 avril qui a permis à un pirate informatique de faire passer une proposition de gouvernance.
Le Ethereum– l’exploit du protocole stablecoin a laissé plusieurs jetons manquants et a vu son stablecoin indexé sur le dollar américain descendre sous la barre des 1 $.
Beanstalk a subi un exploit aujourd’hui.
L’équipe de Beanstalk Farms enquête sur l’attaque et fera une annonce à la communauté dès que possible.
— Fermes de haricot magique (@BeanstalkFarms) 17 avril 2022
Exploitation du protocole Beans
Société de sécurité blockchain PeckShield a d’abord signalé le piratage sur Twitter et a déclaré qu’un hacker a volé plus de 80 millions de dollars en exploitant Beanstalk Farms.
1/ Le @BeanstalkFarms a été exploité dans une vague de txs (https://t.co/PMsdP5dnJG et https://t.co/wyHe3ARZgU),
conduisant à un gain de 80 + M $ pour le pirate informatique (la perte de protocole peut être plus importante), dont 24 830 ETH et 36 M BEAN.– PeckShield Inc. (@peckshield) 17 avril 2022
Le pirate a utilisé des prêts flash pour obtenir une grande quantité de jetons Beanstalk STALK, ce qui leur a donné suffisamment de pouvoir de vote pour adopter une proposition de gouvernance qui a vidé tous les fonds du protocole dans le portefeuille du pirate.
Le pirate a ensuite remboursé les prêts flash de Aave, Uniswap V2, et Échange de sushis et converti les fonds en Wrapped ETH. Les fonds volés ont ensuite été envoyés via le mélangeur Tornado Cash. Le pirate informatique a également fait don d’une partie de sa crypto volée à l’Ukraine.
4/ Les fonds initiaux pour lancer le hack sont retirés de @SynapseProtocol et la plupart des gains de résultat sont déposés à @TornadeCash. Actuellement, 15 154 ETH restent toujours sur le compte du pirate. Notez que le pirate informatique fait don de 250 000 USDC à Ukraine Crypto Donation. pic.twitter.com/jBjUJ0JbGj
– PeckShield Inc. (@peckshield) 17 avril 2022
Les exploits de prêt flash sont courants
L’exploit de Beanstalk Farms n’est pas tes premiers attaquants ont exploité les prêts flash. Selon le résumé de l’attaque publié sur le serveur Beanstalk Discord, l’exploit s’est produit parce que Beanstalk n’a pas réussi à :
« utiliser une mesure de résistance aux prêts flash pour déterminer le % de Stalk qui a voté en faveur du BIP. »
1/5
Le nouveau populaire @beanstalkfarms Le protocole a perdu plus de 181 millions de dollars dans l’exploit d’aujourd’hui, mais l’attaquant n’a gagné que 76 millions de dollars.
Découvrons ce qui s’est passé? pic.twitter.com/sRjzAF8stE
— Igor Igamberdiev (@FrankResearcher) 17 avril 2022
La société de sécurité blockchain responsable de l’audit des contrats intelligents Beanstalk, Omnicia, a déclaré que Beanstalk avait lancé le code avec la vulnérabilité de prêt flash après son audit. Il a ajouté dans un analyse post-mortem de l’attaque qu’il n’avait pas encore audité le code exploité.
Étant donné la prévalence de exploits de prêts flash dans l’espace DeFi, il est surprenant que Beanstalk ait introduit le code sans audit approprié.
De plus, on se demande si le protocole remboursera les utilisateurs. Beanstalk Farms a déclaré qu’il fournirait plus de mises à jour lors de sa prochaine réunion publique.
Le piratage survient quelques semaines seulement après un exploit du pont Ronin perdu 600 millions de dollars sur Axie Infinity en mars.
Pendant ce temps, l’utilisation de Tornado Cash par les pirates a suscité des critiques pour son manque d’efforts dans la prévention de la fraude. JLe mélangeur ETH a récemment déclaré qu’il utilisait le contrat Chainanalysis Oracle pour bloc adresses sanctionnées par l’Office of Foreign Assets Control (OFAC) d’utiliser ses services.
Utilisations de Tornado Cash @chainalysis contrat oracle pour empêcher les adresses sanctionnées par l’OFAC d’accéder à la dapp.
Le maintien de la confidentialité financière est essentiel pour préserver notre liberté, mais cela ne doit pas se faire au détriment de la non-conformité.https://t.co/tzZe7bVjZt— ?️ Tornado.cash ?️ (@TornadoCash) 15 avril 2022
