DeFi 協議 Beanstalk 已證實由於允許黑客通過治理提案的漏洞,,其於 4 月 17 日通過閃電貸款攻擊被黑客入侵超過 1.8 億美元。
基於以太坊(Ethereum)的穩定幣協議的利用導致幾個代幣丟失,其與美元掛鉤的穩定幣跌破 1 美元大關。區塊鏈安全公司 PeckShield 首先在 Twitter 上報告這起黑客事件,並稱一名黑客通過利用 Beanstalk Farms 竊取了超過 8,000 萬美元。
黑客使用閃電貸獲得了大量的 Beanstalk STALK 代幣,這給了他們足夠的投票權來通過一項治理提案,該提案將協議上的所有資金都注入黑客的錢包。黑客隨後償還了來自 Aave、Uniswap V2 和 Sushiswap 的閃電貸款,並將資金轉換為 Wrapped ETH。然後,被盜資金通過 Tornado Cash 混合器發送。黑客還將他偷來的一些加密貨幣捐贈給烏克蘭。
4/ The initial funds to launch the hack are withdrawn from @SynapseProtocol and most of the result gains are deposited to @TornadoCash. Currently 15,154 ETH still stays in the hacker’s account. Note the hacker donates 250k USDC to Ukraine Crypto Donation. pic.twitter.com/jBjUJ0JbGj
— PeckShield Inc. (@peckshield) April 17, 2022
閃貸漏洞很常見
Beanstalk Farms 的利用並不是攻擊者第一次利用閃電貸。根據 Beanstalk Discord 服務器上發布的攻擊摘要,該漏洞的發生是因為 Beanstalk 未能:“使用防閃貸措施來確定投票支持 BIP 的 Stalk 的百分比。”
1/5
The new popular @beanstalkfarms protocol lost $181M+ in today’s exploit, but the attacker only gained $76M.
Let’s figure out what happened👇 pic.twitter.com/sRjzAF8stE
— Igor Igamberdiev (@FrankResearcher) April 17, 2022
負責審計 Beanstalk 智能合約的區塊鏈安全公司 Omnicia 表示,Beanstalk 在審計後推出帶有閃貸漏洞的代碼。它在對攻擊的事後分析中補充說,它尚未審核被利用的代碼。
鑑於 DeFi 領域中閃貸漏洞的普遍存在,令人驚訝的是 Beanstalk 在沒有經過適當審計的情況下引入了代碼。此外,還有人擔心該協議是否會補償用戶。 Beanstalk Farms 表示將在下次市政廳會議上提供更多更新。
僅在 3 月 Ronin 橋接漏洞在 Axie Infinity 上損失超過 6 億美元後幾週,黑客就發生了。與此同時,黑客對 Tornado Cash 的使用因其在防止欺詐方面缺乏努力而受到批評。 以太坊(Ethereum)混合器最近表示,它正在使用 Chainanalysis Oracle 合約來阻止外國資產控制辦公室 (OFAC) 批准的地址使用其服務。
Tornado Cash 使用 chainalysis oracle 合約來阻止 OFAC 批准的地址訪問 dapp,並認為:維護財務隱私對於維護我們的自由至關重要,但是,不應該以違規為代價。
相關:Twitter 受黑客攻擊:推廣虛假 Azuki NFT
相關:解讀黑客如何從 Solana Wormhole 中盜取 8萬枚 ETH
