🔑 Registre una cuenta con Gate.io
👨💼 Complete KYC en un plazo de 24 horas
🎁 Reclamar recompensas de puntos
Todos los dispositivos
Salir de todas las cuentas de terminal APP/PC/WAP
Este dispositivo
Salir de la cuenta web actual
Blog de Gate
Noticias cripto, titulares e información
BEANSTALK FARMS PERDIÓ $ 182M POR EL ATAQUE DE PRÉSTAMO FLASH
09 May 18:52
-Un protocolo de stablecoin basado en Ethereum, Beanstalk Farms, fue atacado el domingo por un atacante no identificado.
-Beanstalk opera préstamos de criptomonedas a través de contratos inteligentes de finanzas descentralizadas (DeFi) que no requieren garantías para prestar enormes sumas en préstamos flash. El atacante habría tomado préstamos flash de algunas plataformas de préstamos como Aave, utilizando los fondos para adquirir un gran porcentaje del token de gobierno de Beanstalk, Stalk.
-El gran poder de voto permitió al culpable aprobar protocolos de gobernanza maliciosos que necesitaban para desviar fondos a una cartera privada. El atacante utilizó el dinero de Tornado para blanquear el dinero y cubrir sus huellas digitales.
-La operación dejó a la gente confundida cuando el atacante donó parte del dinero a los esfuerzos de ayuda ucranianos... Obtenga más información en el cuerpo del artículo.
Beanstalk Farm, un proyecto DeFi basado en Ethereum, sufrió el 17 de abril de 2022 una pérdida de $182 millones de dólares en un ataque de préstamo flash por parte de un culpable desconocido. Beanstalk es un protocolo de stablecoin (una criptodivisa vinculada a una moneda fiduciaria) basado en el blockchain de Ethereum. La moneda nativa del proyecto, BEAN, cayó un 86% respecto a su valor de $1 dólar tras el ataque.
El ataque fue posible gracias a dos propuestas de gobierno dañinas [BIP-18 y BIP-19] que el atacante emitió el sábado cuando el personaje pidió a Beanstalk Farms que donara fondos a Ucrania. La propuesta, que llevaba una cláusula maliciosa adjunta, permitía desviar los fondos a una cartera privada de ETH. El atacante tomó préstamos flash de otras plataformas de préstamo como Aave, USDC y Tether para financiar la operación, adquiriendo el 67% de los tokens de gobernanza de Beanstalk Farms "stalk tokens" y votando sus BIPs (propuesta de mejora de Beanstalk) con errores.
La operación supuso una pérdida de $182 millones de dólares, y el atacante se llevó $80 millones. El resto, $100 millones de dólares, fueron a parar a las plataformas de préstamo en concepto de comisiones por los préstamos flash que el atacante tomó para financiar la operación. Peckshield -empresa de seguridad y análisis de datos en blockchain- reveló en Twitter que el atacante blanqueó el dinero a través de Tornado cash, borrando todas las huellas digitales.
Registros de las transacciones realizadas por el atacante, publicados por Peckshield.
Fuente: Peckfield
Peckshield anunció que, en un gran intento de ser un cripto Robinhood, el atacante había donado $250.000 dólares en monedas (USDC) a la criptodivisa ucraniana y aún mantiene 15.154 ETH en una cuenta. La empresa de análisis rastreó que los fondos iniciales necesarios para lanzar el ataque a Beanstalk Farm fueron retirados de Synapse Protocol. Después, cuando la operación se completó, las ganancias se depositaron en Tornado Cash (unos 25.000 ETH según el rastreo de Mist), lo que hizo que el atacante no pudiera ser rastreado.
Los creadores de Beanstalk revelaron su identidad en su servidor de discordia para demostrar que no estaban involucrados en el ataque. Admitieron que no habían identificado al culpable, aunque perdieron todos sus activos depositados en el Silo, diciendo que era una cantidad considerable.
¿POR QUÉ LAS GRANJAS DE BEANSTALK PUEDEN SER EXPLOTADAS?
Omniscia, el auditor de seguridad de los contratos inteligentes de Beanstalk, dijo en un informe oficial que no auditó el código explotado en el ataque porque ese código se introdujo después de que ellos hubieran auditado el sistema. Esto significa que Beanstalk Farms introdujo un nuevo código después de que Omniscia hubiera auditado y aprobado la seguridad del sistema. Esta última adición dio margen al atacante para actuar sobre el código desprotegido introducido por el protocolo. Es posible que el atacante fuera consciente del nuevo código que Beanstalk había introducido. Los códigos introducidos contienen una función de "confirmación de emergencia" que permite a los interesados eludir el ciclo de vida medio de una propuesta y ejecutarla inmediatamente si tienen un poder de voto importante.
Normalmente, el protocolo de Beanstalk exigía que los fondos utilizados para la votación permanecieran bloqueados durante un periodo de tiempo después de que la propuesta hubiera sido votada. La actualización del protocolo a través de su mecanismo de gobierno BIP permitió al atacante ejecutar su propuesta y recuperar sus fondos bloqueados como parte de la actualización maliciosa.
El ataque parece ser un golpe bien planeado porque el sistema de votación de Beanstalk permite que los votos sean emitidos antes de cualquier BIP activo, permitiendo que los nuevos votos se apliquen a BIPs más antiguos. El atacante que utilizó esto envió su BIP-18 antes de tiempo para satisfacer la función de confirmación de emergencia. Una vez alcanzado el umbral de tiempo para su BIP-18, el ataque se puso en marcha.
En el pasado, los préstamos flash se han utilizado para hackear otros protocolos, como Cream Finance, que perdió 130 millones de dólares de la misma manera. Pero este ataque no fue causado por un hackeo porque todos los protocolos de gobernanza de los proyectos y los contratos inteligentes funcionaron como fueron diseñados. El atacante se dedicó a explotar los fallos del diseño del protocolo. Tras el ataque, el atacante cambió los tokens BEAN por Ethereum y se deshizo de las monedas provocando una caída masiva del valor de BEAN.
Este tipo de sucesos parecen ser recurrentes en el mundo de los proyectos DeFi. Esperemos que en el futuro los proyectos DeFi se aseguren de pasar todos los códigos por sus auditores y se abstengan de introducir códigos no autorizados a partir de entonces para reducir las posibilidades de este tipo de ataques.
Autor: Gate.io Observador: M. Olatunji. Traductor: Jose E.
*Este artículo representa únicamente las opiniones de los observadores y no constituye ninguna sugerencia de inversión.
*Gate.io se reserva todos los derechos de este artículo. Se permitirá la reproducción del artículo siempre que se haga referencia a Gate.io. En todos los demás casos, se emprenderán acciones legales por infracción de los derechos de autor.
BTC/USDT
+ 1.33%
ETH/USDT
+ 1.00%
Desbloquea tu suerte y consigue un $6666 premio
Regístrese ahora
Reclama 20 puntos ahora
Exclusivo para nuevos usuarios: ¡completa 2 pasos para reclamar puntos inmediatamente!
Solicitar ahora
