PeckShield, компания по безопасности блокчейна, которая стремится повысить безопасность, конфиденциальность и удобство использования всей экосистемы блокчейна, сообщила в своем твите, что децентрализованный финансовый (DeFi) протокол Beanstalk (BEAN) стал жертвой хакера.
Согласно текущим данным – которые, вероятно, будут меняться по мере продвижения расследования – хакер, предположительно, унес более 82 миллионов долларов, в то время как Beanstalk, предположительно, понес убытки на сумму до 182 миллионов долларов. Beanstalk – это кредитный стейблкоин-протокол, основанный на Ethereum (ETH).
Beanstalk suffered an exploit today.
— Beanstalk Farms (@BeanstalkFarms) April 17, 2022
The Beanstalk Farms team is investigating the attack and will make an announcement to the community as soon as possible.
С тех пор основатели проекта общаются в Discord и утверждают, что находятся на стадии расследования.
Что касается компании PeckShield, то она объясняет, что хакер украл 80 миллионов долларов, сделав их транзит по протоколу Tornado Cash (микшерный протокол). Точнее, ему удалось украсть 24 830 ETH, что эквивалентно примерно 75,8 миллиона долларов.
The @BeanstalkFarms protocol loss is ~$182m and the hacker nets $80m. The rest $100m goes to various protocols as fees to pay flashloan and swap. Should these protocols (incl. @AaveAave @SushiSwap @CurveFinance @Uniswap @BeanstalkFarms) return these fees back to @BeanstalkFarms?
— PeckShield Inc. (@peckshield) April 18, 2022
Как хакеру удалось атаковать Beanstalk?
Протокол BeanStalk (BEAN) был взломан с помощью атаки флэш-кредитования. Новый вид беззалогового финансирования, эта техника все чаще попадает в новости: иногда она используется злоумышленниками на необеспеченных протоколах DeFi.
Основатели Beanstalk кратко описали процесс атаки в пространном сообщении в Discord для сообщества:
В нем они объясняют, что хакер ранее оформил флэш-кредит на платформе Aave, чтобы иметь возможность получить значительное количество нативных токенов управления Beanstalk. С помощью этих токенов “злонамеренное предложение руководства слило все средства протокола на частный кошелек Ethereum”.
Они заявляют:
“Beanstalk не использовал показатель устойчивости к флэш-кредитам для определения % Stalk, проголосовавших за BIP. Это ошибка, которая позволила хакеру использовать Beanstalk.”.
Основатели Beanstalk, пояснительное сообщение Discord
Еще одним удивительным моментом является то, что хакер первоначально сделал пожертвование Украине в размере 250 000 долларов.
К сожалению для пользователей, основатели Beanstalk не дали никаких ответов или гарантий относительно того, будут ли возвращены украденные средства. Они даже выглядят пораженцами в отношении будущего Beanstalk. Однако ожидается, что будет объявлено больше новостей, и поспешные выводы делать нельзя.