btc$16580.5
eth$1218.57
bnb$313.44
usdc$1.001
busd$1.001
xrp$0.406
doge$0.104
ada$0.319
matic$0.866
dot$5.42
Курсы криптовалют

DeFi-протокол Beanstalk Farms потерял $181 млн в результате взлома

Основанный на Ethereum протокол стейблкоина Beanstalk Farms потерял в результате взлома более $181 млн в криптовалютах. Хакер получил около $76 млн.

1/5The new popular @beanstalkfarms protocol lost $181M+ in today’s exploit, but the attacker only gained $76M.Let’s figure out what happened👇 pic.twitter.com/sRjzAF8stE— Igor Igamberdiev (@FrankResearcher) April 17, 2022

По данным директора по исследованиям The Block Игоря Игамбердиева, злоумышленник полностью опустошил контракт протокола.

Атакующий создал предложение по управлению BIP-18, предусматривающее пожертвование в пользу Украины в размере $250 000, которое сфальсифицировал перед исполнением.

Через мгновенные займы он получил:

  • 350 млн DAI, 500 млн USDC и 150 млн USDT на Aave;
  • 32 млн BEAN на Uniswap;
  • 11,6 млн LUSD на SushiSwap.

Средства хакер использовал для добавления ликвидности в пулы Curve в BEAN для получения голосов управления — токенов Stalk.

Затем он развернул и одобрил вредоносное BIP-18, которое перевело все активы из протокола на сторонний кошелек. 

2/5The main protocol contract has been completely emptied.User funds have been withdrawn:— 36M BEAN ($36M)— 0.54 ETH-BEAN UNI-v2 LP tokens ($33M in ETH and $32M in BEAN)— 79.2M BEAN3CRV-f Curve LP tokens ($79.2M?)— 1.6M BEAN-LUSD Curve LP tokens ($1.6M?) pic.twitter.com/mdnr9rCDbm— Igor Igamberdiev (@FrankResearcher) April 17, 2022

После удаления ликвидности и погашения займов злоумышленник конвертировал оставшиеся средства в 24 800 WETH (~$76 млн). Криптовалюту он отмыл через сервис микширования Tornado Cash. 250 000 USDC ушли на адрес сбора пожертвований в пользу Украины.

Данные: Etherscan.

Проводившая ранее аудит протокола Beanstalk компания Omnicia заявила, что использованные для атаки уязвимости появились уже после проверки кодовой базы. В фирме отметили, что возможность генерировать токены управления с помощью мгновенных займов и незамедлительное исполнение принятого квалифицированным большинством предложения были внедрены BIP-12 и BIP-16 за последние месяцы.

📌 Read our post-mortem analysis of the Beanstalk exploit. The code that was exploited was NOT AUDITED by the omniscia team https://t.co/Ck08mJBazJ pic.twitter.com/S6SO7YaVrw— Omniscia (@Omniscia_sec) April 17, 2022

Напомним, крупнейшими взломами криптопроектов с начала года остаются инциденты с Wormhole и Ronin — потери $319 млн и $625 млн соответственно.

Оцените качество статьи:

(0 голосов, в среднем: 5 из 5)
  1. 5
  2. 4
  3. 3
  4. 2
  5. 1

Похожие записи