Beanstalk Farms, DeFi yönetişim istismarında 182 milyon dolar kaybetti


Kredi tabanlı stabilcoin protokolü Beanstalk Farms, iki uğursuz yönetişim önerisi ve bir ani kredi saldırısının neden olduğu bir güvenlik ihlalinden 182 milyon dolarlık teminatının tamamını kaybetti.

Protokol sorunu, şüpheli yönetim tarafından tohumlandı teklifler BIP-18 ve BIP-19, protokolün Ukrayna’ya bağışta bulunmasını isteyen sömürücü tarafından 16 Nisan’da yayınlandı. Bununla birlikte, bu tekliflerin kendilerine bağlı kötü niyetli bir sürücüsü vardı ve bu da akıllı sözleşme denetçisine göre nihayetinde protokolden fonların batmasını sağladı. BlokSn.

Merkezi olmayan bir finans (DeFi) protokolünün bu en son güvenlik ihlali UTC saat 12:24’te gerçekleşti. O zaman, istismarcı DAI (DAI), USD Coin (USDC) ve Tether (USDT) sabit paraları cinsinden AAVE (AAVE) protokolünden 1 milyar dolarlık flaş kredi aldı. Bu fonları, protokolün yönetişiminin %67’sini devralacak kadar varlık biriktirmek için kullandılar ve onaylamak kendi önerileri.

Bir anlık kredi, tek bir blok içinde yürütülmeli ve geri ödenmelidir ve genellikle birden fazla akıllı sözleşmeyi tamamlamak için çağrıda bulunur. Flash krediler geçmişte, diğer protokollerin saldırılarını veya güvenlik açıklarını gerçekleştirmek için kullanılmıştır. Beanstalk Farms, Ethereum’da merkezi olmayan bir algoritmik stabilcoin veren platformdur.

Akıllı sözleşmeler ve yönetişim prosedürleri tasarlandığı gibi çalıştığı için bu vaka teknik olarak bir hack değildi. Tasarımlarındaki kusurlardan yararlanıldı ve proje sözcüsü “Publius” 18 Nisan’daki bir toplantıda şunları söyledi:

“Fasulye sırığını başarılı bir konuma getiren aynı yönetişim prosedürünün nihayetinde onu geri alması talihsiz bir durum.”

Blockchain güvenlik analiz firması PeckShield, Beanstalk ekibini şu yollarla bilgilendirdi: heyecan 17 Nisan saat 12:41 UTC’de, “Merhaba, @beanstalkFarms, bir göz atmak isteyebilirsiniz.”

O noktada, çok geçti. İstismarcı, Ether (ETH) ve Beans (BEAN) cinsinden yaklaşık 80 milyon dolar kazanmıştı ve tüm protokol 182 milyon dolarlık kilitli toplam değerini (TVL) kaybetti. PeckShield. BEAN şu anda yaklaşık %83 düşüşle 0.17$’dan işlem görüyor. CoinGecko ancak istismarcı jetonlarını terk ettiğinde 0,06 $’a düştü.

Sömürücü, BEAN’i ETH ile takas etti ve ardından dijital izlerini kapatmak için paraları Tornado Cash’e gönderdi. Ancak, Ukrayna Kripto Bağış cüzdanına da 250.000 USDC gönderdiler.

17 Nisan UTC saat 23:49’da Publius, kayıpları telafi edecek herhangi bir risk sermayesi desteği olmadığı için projenin büyük olasılıkla kaybedileceğini yazdı ve “Sikildik” diye ekledi.

Beanstalk Farms, DeFi yönetişim istismarında 182 milyon dolar kaybetti

18 Nisan’da Beanstalk Discord kanalında bir ekip ve topluluk toplantısında, Publius projeyi geliştiren üç kişiyi doxxed. Onlar, Chicago Üniversitesi’ne birlikte katılan ve Beanstalk Farms’ı tasarlayan Benjamin Weintraub, Brendan Sanderson ve Michael Montoya.

Montoya, ekibin Federal Soruşturma Bürosu (FBI) Suç Merkezi’ne ulaştığını ve “faillerin izini sürmek ve fonları geri almak için onlarla tamamen işbirliği yapacaklarını” söyledi.

Protokolün akıllı sözleşmeleri duraklatıldı ve tüm yönetim ayrıcalıkları ekip tarafından iptal edildi.

İlişkili: Kuzey Koreli Lazarus Grubu’nun Ronin Bridge hackinin arkasında olduğu iddia ediliyor

Cointelegraph, FBI’ın kendilerine yardım etmek için herhangi bir yasal yolu olup olmadığına inanıp inanmadıklarını sorduğunda ekip yanıt vermedi, ancak Publius bunun kesinlikle araştırılması gereken bir hırsızlık olduğuna inanıyor.

Beanstalk topluluğu, kendi muazzam kişisel kayıplarına rağmen, deneme zamanında çoğunlukla takımı destekledi. Ancak topluluk üyesi “Astrabean”, yaşananları projenin devam etmesi gereken dürüst bir hata olarak kabul etmek yerine ekibin saldırı için daha fazla sorumluluk alması gerektiğine inanıyor. “Liderler olarak olanlardan sorumlu olmanızı isterdim” dedi.

Topluluk üyesi “CharlieP”, protokole duyulan güven konusundaki endişeleri yineledi. Takıma “Bu çaba için hiçbir sorumluluğunuz olmadığını mı söylüyorsunuz? Eğer durum buysa, bunun bir daha olmayacağına kime güveneceğiz?”

Publius, projenin sadece bir açık kaynak kod deneyi olduğunu, bir işletme olmadığını ve olanlardan ne kendisinin ne de ekibin sorumlu tutulmaması gerektiğini söyledi. Ekledi,

“Bizden sorumluluk almamızı istediğinde, bu gerçekten uygunsuz.”