Протокол стейблкоина на основе кредита Beanstalk Farms потерял все свое обеспечение в размере 182 миллионов долларов из-за нарушения безопасности, вызванного двумя зловещими предложениями по управлению и атакой мгновенного кредита.
Проблема для протокола была вызвана подозрительными предложениями управления BIP-18 и BIP-19, выпущенными 16 апреля эксплуататорами, которые запросили протокол для пожертвования средств Украине. Однако к этим предложениям был прикреплен злонамеренный райдер, который, по словам аудитора смарт-контрактов BlockSec, в конечном итоге привел к утечке средств из протокола.
Это последнее нарушение безопасности протокола децентрализованных финансов (DeFi) произошло в 12:24 UTC. В то время эксплуататор взял флэш-кредиты на 1 миллиард долларов по протоколу AAVE (AAVE), номинированному в стейблкоинах DAI (DAI), USD Coin (USDC) и Tether (USDT). Они использовали эти средства, чтобы накопить достаточно активов, чтобы взять на себя 67% управления протоколом и утвердить свои собственные предложения.
Мы прилагаем все усилия, чтобы попытаться двигаться вперед. Как децентрализованный проект, мы просим сообщество DeFi и экспертов по цепной аналитике помочь нам ограничить возможность эксплуататора выводить средства через CEX. Если эксплуататор открыт для обсуждения, мы тоже.https://t.co/fwceVz6hbi— Beanstalk Farms (@BeanstalkFarms) 17 апреля 2022 г.
Мгновенный кредит должен быть выполнен и погашен в рамках одного блока и обычно требует одновременного выполнения нескольких смарт-контрактов. В прошлом флэш-кредиты использовались для взлома или взлома других протоколов. Beanstalk Farms — это децентрализованная алгоритмическая платформа для выпуска стейблкоинов на Ethereum.
Технически этот случай не был взломом, поскольку смарт-контракты и процедуры управления функционировали должным образом. Недостатки в их конструкции были использованы, что признал представитель проекта «Публий» на встрече 18 апреля, когда он сказал:
«К сожалению, та же процедура управления, которая позволила beanstalk добиться успеха, в конечном итоге погубила его».
Фирма по анализу безопасности блокчейна PeckShield уведомила команду Beanstalk через Twitter в 12:41 UTC 17 апреля, что может возникнуть проблема со зловещим заявлением: «Привет, @beanstalkFarms, вы можете взглянуть».
Наш первоначальный анализ показывает, что убыток @BeanstalkFarms составляет около 182 миллионов долларов!Вот разбивка украденных активов: 79 238 241 BEAN3CRV-f, 1 637 956 BEANLUSD-f, 36 084 584 BEAN и 0,54 UNI-V2_WETH_BEAN.https://t.co/8OzPn8F8ot— PeckShield Inc. (@peckshield) 17 апреля 2022 г.
В тот момент было слишком поздно. По данным PeckShield, эксплуататор уже сбежал с примерно 80 миллионами долларов в эфире (ETH) и бобах (BEAN), в то время как весь протокол потерял свои 182 миллиона долларов в общей заблокированной стоимости (TVL). BEAN в настоящее время упал примерно на 83%, торгуясь на уровне 0,17 доллара, согласно CoinGecko, но упал на уровне 0,06 доллара, когда эксплуататор сбросил свои токены.
Эксплуататор обменял BEAN на ETH, а затем отправил монеты в Tornado Cash, чтобы замести свои цифровые следы. Тем не менее, они также отправили 250 000 долларов США на украинский криптовалютный кошелек Donation.
В 23:49 по Гринвичу 17 апреля Публий написал, что проект, вероятно, потерян, поскольку нет венчурного капитала, поддерживающего возмещение убытков, добавив: «Нам пиздец».
На собрании команды и сообщества на канале Beanstalk Discord 18 апреля Публий доксировал трех человек, разрабатывавших проект. Это Бенджамин Вайнтрауб, Брендан Сандерсон и Майкл Монтойя, все они вместе учились в Чикагском университете и задумали Beanstalk Farms.
Монтойя сказал, что группа связалась с Криминальным центром Федерального бюро расследований (ФБР) и будет «полностью сотрудничать с ними, чтобы выследить преступников и вернуть средства».
Смарт-контракты протокола были приостановлены, и команда отозвала все привилегии управления.
По теме: Северокорейская группа Lazarus предположительно стоит за взломом Ronin Bridge
Команда не ответила, когда Коинтелеграф спросил, считают ли они, что у ФБР есть какие-либо юридические средства, чтобы помочь им, но Публиус считает, что это определенно кража, которая должна быть расследована.
Сообщество Beanstalk в основном поддерживало команду в трудные времена, несмотря на их собственные огромные личные потери. Однако член сообщества «Astrabean» считает, что команда должна взять на себя больше ответственности за нападение, а не принимать произошедшее как честную ошибку, от которой проект должен двигаться дальше. Он заявил, что «я бы хотел, чтобы вы как лидеры взяли на себя ответственность за то, что произошло».
Член сообщества «CharlieP» повторил эти опасения по поводу доверия к протоколу. Он спросил команду: «Вы говорите, что не несете ответственности за это начинание?Если это так, то кому мы должны верить, что это больше не повторится?»
Публий ответил, что проект — это всего лишь эксперимент с открытым исходным кодом, а не бизнес, и что ни он, ни команда не должны нести ответственность за то, что произошло. Добавил он,
«Когда вы просите нас взять на себя ответственность, это действительно неуместно».