BEANSTALK FARMS A PERDU 182 MILLIONS DE DOLLARS SUITE À UNE ATTAQUE DE PRÊT FLASH

-Un protocole de stablecoin basé sur Ethereum, Beanstalk Farms, a été attaqué dimanche par un attaquant non identifié.

-Beanstalk exploite des prêts en crypto-monnaies via des contrats intelligents de finance décentralisée (DeFi) qui n'exigent pas de garantie pour prêter des sommes énormes en prêts flash. L'attaquant aurait pris des prêts flash auprès de certaines plateformes de prêt comme Aave, utilisant les fonds pour acquérir un grand pourcentage du jeton de gouvernance de Beanstalk, Stalk.

-Le pouvoir de vote important a permis au coupable d'approuver des protocoles de gouvernance malveillants dont il avait besoin pour siphonner des fonds dans un portefeuille privé. L'attaquant a utilisé Tornado cash pour blanchir l'argent et couvrir ses traces numériques.

-L'opération a laissé les gens perplexes lorsque l'attaquant a reversé une partie de l'argent aux efforts de secours ukrainiens... Pour en savoir plus, lisez le corps de l'article.


Beanstalk Farm, un projet DeFi basé sur Ethereum, a subi le 17 avril 2022 une perte sans précédent de 182 millions de dollars lors d'une attaque de prêt flash par un coupable inconnu. Beanstalk est un protocole stablecoin (une crypto-monnaie rattachée à une monnaie Fiat) basé sur le crédit et exécuté sur la blockchain Ethereum. La pièce native du projet, BEAN, a chuté de 86 % par rapport à sa valeur de référence de 1 dollar après l'attaque.

Une attaque qui a été rendue possible par deux propositions de gouvernance nuisibles [BIP-18 et BIP-19] a été émise par l'attaquant samedi lorsque le personnage a demandé à Beanstalk Farms de donner des fonds à l'Ukraine. La proposition, à laquelle était attaché un avenant malveillant, a permis de siphonner les fonds dans un portefeuille ETH privé. L'attaquant a contracté des prêts flash auprès d'autres plateformes de prêt comme Aave, USDC et Tether pour financer l'opération en acquérant 67 % des tokens de gouvernance de Beanstalk Farms " stalk tokens " et en votant leurs BIP (Beanstalk improvement proposal) bogués en approbation.

L'opération a entraîné une perte de 182 millions de dollars, et l'attaquant s'est enfui avec 80 millions de dollars. Le reste, soit 100 millions de dollars, est allé aux plateformes de prêt en tant que frais pour les prêts flash que l'attaquant a contractés pour financer l'opération. Peckshield, une société spécialisée dans la sécurité des blockchains et l'analyse des données, a révélé sur Twitter que l'attaquant a blanchi l'argent via Tornado cash, en supprimant toutes les empreintes numériques.


Peckshield a annoncé que dans une grande tentative d'être un Robin des Bois cryptographique, l'attaquant avait donné 250 000 $ en pièces USD (USDC) à Ukrainian Crypto Donation et détient toujours 15 154 ETH sur un compte. La société d'analyse a retracé que les fonds initiaux nécessaires pour lancer l'attaque sur Beanstalk Farm ont été retirés du protocole Synapse. Ensuite, une fois l'opération terminée, les gains ont été déposés dans Tornado Cash (environ 25 000 ETH selon Mist track), rendant l'attaquant intraçable.

Les créateurs de Beanstalk ont dévoilé leur identité sur leur serveur discord pour prouver qu'ils n'étaient pas impliqués dans l'attaque. Ils ont admis qu'ils n'avaient pas identifié le coupable, bien qu'ils aient perdu tous leurs actifs déposés dans le Silo, disant que c'était un montant substantiel.


POURQUOI LES FERMES BEANSTALK POURRAIENT-ELLES ÊTRE EXPLOITÉES?

---

Omniscia, l'auditeur de sécurité des contrats intelligents de Beanstalk, a déclaré dans un rapport officiel qu'ils n'ont pas audité le code exploité dans l'attaque car ce code a été introduit après qu'ils aient audité le système. Cela signifie que Beanstalk Farms a introduit un nouveau code après qu'Omniscia ait audité et approuvé la sécurité du système. Ce dernier ajout a donné une marge de manœuvre à l'attaquant pour agir sur le code non protégé introduit par le protocole. Il est possible que l'attaquant ait eu connaissance du nouveau code que Beanstalk avait introduit. Les codes introduits contiennent une fonction de "validation d'urgence" qui permet aux parties prenantes de contourner le cycle de vie moyen d'une proposition et de l'exécuter immédiatement si elles disposent d'un pouvoir de vote important.

Normalement, le protocole Beanstalk exigeait que les fonds utilisés pour le vote restent verrouillés pendant un certain temps après le vote de la proposition. La mise à jour du protocole via son mécanisme de gouvernance BIP a permis à l'attaquant d'exécuter sa proposition et de récupérer les fonds verrouillés dans le cadre de la mise à jour malveillante.

L'attaque semble avoir été bien planifiée, car le système de vote Beanstalk permet de voter avant tout BIP actif, ce qui permet aux nouveaux votes de s'appliquer aux anciens BIP. L'attaquant utilisant ce système a soumis son BIP-18 à l'avance pour satisfaire la fonction de validation d'urgence. Une fois que le seuil de temps pour son BIP-18 a été atteint, l'attaque a été mise en œuvre.

Dans le passé, des prêts flash ont été utilisés pour pirater d'autres protocoles comme Cream Finance, qui a perdu 130 millions de dollars de la même manière. Mais cette attaque n'a pas été causée par un piratage, car tous les protocoles de gouvernance des projets et les contrats intelligents ont fonctionné comme ils étaient censés le faire. L'attaquant s'est fait un devoir d'exploiter les failles dans la conception du protocole. Après l'attaque, l'exploiteur a échangé les jetons BEAN contre de l'Ethereum et s'est débarrassé des pièces, provoquant une chute massive de la valeur de BEAN.


De tels événements semblent être récurrents dans le monde des projets DeFi. Espérons qu'à l'avenir, les projets DeFi s'assureront de faire passer tous les codes par leurs auditeurs et s'abstiendront d'introduire des codes non autorisés par la suite afin de réduire les risques de telles attaques.



Auteur : Observateur Gate.io: M. Olatunji
* Cet article ne représente que les opinions des observateurs et ne constitue pas une suggestion d'investissement.
*Gate.io se réserve tous les droits sur cet article. La rediffusion de l'article sera autorisée à condition que Gate.io soit référencé. Dans tous les autres cas, une action en justice sera engagée pour violation des droits d'auteur.