基於信用的穩定幣協議Beanstalk Farms 因兩項險惡的治理提議和一次閃貸攻擊導致的安全漏洞損失了全部1.82 億美元的抵押品。
該協議的問題是由可疑的治理造成的 提案 BIP-18 和BIP-19 由開發者於4 月16 日發布,要求協議向烏克蘭捐贈資金。然而,根據智能合約審計員的說法,這些提議附有惡意的搭檔,最終造成了協議資金的沉洞 區塊安全.
去中心化金融的最新安全漏洞(去中心化金融) 協議發生在UTC 時間下午12:24。當時,剝削者從AAVE 取出了10 億美元的閃電貸款(AAVE) 以DAI 計價的協議 (戴), 美元硬幣 (美元兌美元) 和繫繩 (USDT) 穩定幣。他們使用這些資金積累了足夠的資產來接管協議67% 的治理和 批准 他們自己的建議。
我們正在盡一切努力向前邁進。作為一個去中心化項目,我們要求DeFi 社區和鏈分析專家幫助我們限制開發者通過CEXes 提取資金的能力。如果剝削者願意討論,我們也是。 https://t.co/fwceVz6hbi
— 豆莖農場(@BeanstalkFarms) 2022 年4 月17 日
閃貸必須 執行並償還 在一個區塊內,通常一次調用多個智能合約來完成。閃貸過去曾被用於執行 黑客或安全漏洞 的其他協議。 Beanstalk Farms 是以太坊上的去中心化算法穩定幣發行平台。
這個案例在技術上不是黑客攻擊,因為智能合約和治理程序按設計運行。他們的設計缺陷被利用了,項目發言人“Publius”在4 月18 日的一次會議上承認了這一點,他說:
“不幸的是,使beanstalk 處於成功位置的相同治理程序最終導致了它的失敗。”
區塊鏈安全分析公司PeckShield 通過以下方式通知了Beanstalk 團隊 推特 UTC 時間4 月17 日下午12:41,不祥的聲明可能存在問題:“嗨,@beanstalkFarms,你可能想看看。”
我們的初步分析表明 @豆莖農場 損失約為1.82 億美元!以下是被盜資產的明細:79,238,241 BEAN3CRV-f、1,637,956 BEANLUSD-f、36,084,584 BEAN 和0.54 UNI-V2_WETH_BEAN。 https://t.co/8OzPn8F8ot
— PeckShield Inc. (@peckshield) 2022 年4 月17 日
到那時,為時已晚。剝削者已經竊取了大約8000 萬美元的以太幣(以太坊) 和Beans (BEAN) 而整個協議損失了1.82 億美元的總價值鎖定(TVL) 啄盾. BEAN 目前下跌約83%,交易價格為0.17 美元。 幣虎 但當剝削者傾銷他們的代幣時,跌至0.06 美元。
剝削者將BEAN 換成ETH,然後將硬幣發送到Tornado Cash 以掩蓋他們的數字踪跡。但是,他們還向烏克蘭加密捐贈錢包發送了250,000 USDC。
世界標準時間4 月17 日晚上11 點49 分,Publius 寫道,由於沒有風險資本支持來彌補損失,該項目可能會失敗,並補充說“我們被搞砸了”。
在4 月18 日,在Beanstalk Discord 頻道的一次團隊和社區會議上,Publius 對開發該項目的三個人進行了doxxed。他們是本傑明·溫特勞布、布倫丹·桑德森和邁克爾·蒙托亞,他們一起就讀於芝加哥大學並構思了Beanstalk 農場。
蒙托亞說,該小組已聯繫聯邦調查局(FBI)犯罪中心,將“全力配合他們追查肇事者並追回資金”。
該協議的智能合約已暫停,所有治理權限已被團隊撤銷。
有關的: 據稱朝鮮拉撒路集團是羅寧橋黑客的幕後黑手
當Cointelegraph 詢問他們是否認為FBI 有任何法律途徑可以幫助他們時,該團隊沒有做出回應,但Publius 認為這絕對是一起應該調查的盜竊案。
儘管Beanstalk 的個人損失慘重,但在艱難時期,Beanstalk 的社區大多支持團隊。然而,社區成員“Astrabean”認為團隊應該對這次攻擊承擔更多責任,而不是接受所發生的事情是一個誠實的錯誤,該項目必須繼續前進。他說:“我希望你們作為領導者對所發生的事情負責。”
社區成員“CharlieP”回應了對協議信任的擔憂。他問團隊“你是說你對這項工作沒有責任嗎? 如果是這樣的話,我們又有什麼資格相信這不會再次發生呢?”
Publius 回應說,該項目只是一個開源代碼實驗,而不是一項業務,他和團隊都不應對所發生的事情負責。他加了,
“當你要求我們承擔責任時,這真的很不合適。”