🔑 Зареєструйте обліковий запис у Gate.io
👨💼 Заповніть KYC протягом 24 годин
🎁 Отримайте нагороди за бали
Усі пристрої
Вийдіть з усіх термінальних облікових записів APP/PC/WAP
Цей Пристрій
Вийти з поточного облікового запису в Інтернеті
Блог Gate
Ваш шлюз до крипто-новин та інсайтів
FARMS BEANSTALK ВТРАТИЛИ 182 МЛН ДОЛАРІВ ЧЕРЕЗ АТАКУ НА КРЕДИТУ
09 May 18:52
<img onerror="this.className=`errimg`" src="82mToFlashLoanAttack_web.jpg" 82mtoflashloanattack_web.jpg"="" alt="" class="errimg">
У неділю невстановлений зловмисник атакував протокол стейблкойнів на основі Ethereum, Beanstalk Farms.
-Beanstalk надає криптокредити за допомогою смарт-контрактів децентралізованого фінансування (DeFi), які не вимагають застави для надання величезних сум швидких позик. Повідомлялося, що зловмисник брав термінові позики на деяких кредитних платформах, таких як Aave, використовуючи кошти для придбання значного відсотка токена управління Beanstalk, Stalk.
- Основне право голосу дозволило зловмиснику схвалити зловмисні протоколи управління, необхідні для перекачування коштів у приватний гаманець. Зловмисник використовував Tornado Cash для відмивання грошей та приховування цифрових слідів.
– Операція збентежила людей, коли зловмисник пожертвував частину грошей на допомогу українцям… Дізнайтеся більше в тілі статті.
Beanstalk Farm, проект DeFi на основі Ethereum, 17 квітня 2022 року зазнав грандіозних збитків у розмірі 182 мільйонів доларів США в результаті атаки на швидку позику, здійсненої невідомим винуватцем. Beanstalk — це стейблкойн (криптовалюта, прив’язана до фіатної валюти), заснований на кредитуванні, який працює на блокчейні Ethereum. Рідна монета проекту, BEAN, впала на 86% від прив’язки в 1 долар після атаки.
Атака, яка стала можливою завдяки двом шкідливим пропозиціям щодо управління [BIP-18 і BIP-19], була здійснена зловмисником у суботу, коли персонаж попросив Beanstalk Farms пожертвувати кошти Україні. Пропозиція, до якої був прикріплений зловмисний райдер, дозволила перекачувати кошти в приватний гаманець ETH. Зловмисник взяв флеш-позики від інших кредитних платформ, таких як Aave, USDC і Tether , щоб фінансувати операцію, придбавши 67% токенів керування Beanstalk Farms «токенів стебла» та проголосувавши за схвалення їхніх помилкових BIP (пропозиція щодо покращення Beanstalk).
Операція призвела до збитків у 182 мільйони доларів, а зловмиснику вдалося отримати 80 мільйонів. Залишок 100 мільйонів доларів пішов на кредитні платформи як комісія за швидкі позики, які зловмисники взяли для фінансування операції. Peckshield — компанія з безпеки блокчейнів і аналітики даних — розповіла в Twitter, що зловмисник відмивав гроші через Tornado Cash, видаливши всі цифрові сліди.
Peckshield оголосив, що у великій спробі бути крипто-Робінхудом зловмисник пожертвував 250 000 доларів США в монетах USD (USDC) Ukrainian Crypto Donation і досі має 15 154 ETH на рахунку. Аналітична компанія відстежила, що початкові кошти, необхідні для запуску атаки на Beanstalk Farm, були вилучені з Synapse Protocol. Після цього, коли операція була завершена, прибутки були перераховані на Tornado Cash (близько 25 000 ETH згідно з даними Mist), завдяки чому зловмисника неможливо було відстежити.
Творці Beanstalk розкрили свою особу на своєму сервері Discord, щоб довести, що вони не були причетні до атаки. Вони визнали, що не встановили винуватця, хоча й втратили всі свої активи, які зберігалися в силосі, заявивши, що це була значна сума.
ЧОМУ МОЖНА ЕКСПЛУАТАЦІЯ ФЕРМ ВИРОБНИЦТВА БОБОВОГО СТЕЛБА?
Omniscia, аудитор безпеки смарт-контрактів Beanstalk, заявив в офіційному звіті, що вони не перевіряли код, використаний під час атаки, оскільки цей код було введено після того, як вони перевірили систему. Це означає, що Beanstalk Farms представила новий код після того, як Omniscia перевірила та схвалила безпеку системи. Останнє доповнення дало зловмиснику можливість діяти на незахищений код, введений протоколом. Можливо, зловмисник знав про новий код, який ввів Beanstalk. Представлені коди містять функцію «аварійного прийняття», яка дозволяє Зацікавленим сторонам обійти середній життєвий цикл пропозиції та негайно виконати її, якщо вони мають значну силу голосу.
Зазвичай протокол Beanstalk вимагав, щоб кошти, використані для голосування, залишалися заблокованими протягом певного періоду часу після того, як за пропозицію було проголосовано. Оновлення протоколу через механізм керування BIP дозволило зловмиснику виконати свою пропозицію та отримати заблоковані кошти в рамках шкідливого оновлення.
Здається, ця атака була добре спланованою, оскільки система голосування Beanstalk дозволяє голосувати перед будь-яким активним BIP, що дозволяє застосувати нові голоси до старих BIP. Зловмисник, який використав це, завчасно надіслав свій BIP-18, щоб виконати функцію екстреної фіксації. Як тільки часовий поріг для їх BIP-18 був досягнутий, атака була введена в дію.
У минулому термінові позики використовувалися для злому інших протоколів, таких як Cream Finance, який втратив 130 мільйонів доларів таким же чином. Але ця атака не була спричинена зломом, оскільки всі протоколи керування проектами та смарт-контракти функціонували так, як вони були розроблені. Зловмисник використав недоліки в дизайні протоколу. Після атаки експлуататор обміняв токени BEAN на Ethereum і викинув монети, що спричинило значне падіння вартості BEAN.
Такі події, здається, повторюються у світі проектів DeFi. Сподіваємося, що в майбутньому проекти DeFi переконаються, що всі коди запускаються їхніми аудиторами та утримаються від впровадження несанкціонованих кодів після цього, щоб зменшити ймовірність таких атак.
Автор: Gate.io Спостерігач: М. Олатунджі
* Ця стаття представляє лише погляди спостерігачів і не містить інвестиційних пропозицій.
*Gate.io залишає за собою всі права на цю статтю. Повторне розміщення статті буде дозволено за умови посилання на Gate.io. У всіх інших випадках через порушення авторських прав буде вжито судовий позов.
У неділю невстановлений зловмисник атакував протокол стейблкойнів на основі Ethereum, Beanstalk Farms.
-Beanstalk надає криптокредити за допомогою смарт-контрактів децентралізованого фінансування (DeFi), які не вимагають застави для надання величезних сум швидких позик. Повідомлялося, що зловмисник брав термінові позики на деяких кредитних платформах, таких як Aave, використовуючи кошти для придбання значного відсотка токена управління Beanstalk, Stalk.
- Основне право голосу дозволило зловмиснику схвалити зловмисні протоколи управління, необхідні для перекачування коштів у приватний гаманець. Зловмисник використовував Tornado Cash для відмивання грошей та приховування цифрових слідів.
– Операція збентежила людей, коли зловмисник пожертвував частину грошей на допомогу українцям… Дізнайтеся більше в тілі статті.
Beanstalk Farm, проект DeFi на основі Ethereum, 17 квітня 2022 року зазнав грандіозних збитків у розмірі 182 мільйонів доларів США в результаті атаки на швидку позику, здійсненої невідомим винуватцем. Beanstalk — це стейблкойн (криптовалюта, прив’язана до фіатної валюти), заснований на кредитуванні, який працює на блокчейні Ethereum. Рідна монета проекту, BEAN, впала на 86% від прив’язки в 1 долар після атаки.
Атака, яка стала можливою завдяки двом шкідливим пропозиціям щодо управління [BIP-18 і BIP-19], була здійснена зловмисником у суботу, коли персонаж попросив Beanstalk Farms пожертвувати кошти Україні. Пропозиція, до якої був прикріплений зловмисний райдер, дозволила перекачувати кошти в приватний гаманець ETH. Зловмисник взяв флеш-позики від інших кредитних платформ, таких як Aave, USDC і Tether , щоб фінансувати операцію, придбавши 67% токенів керування Beanstalk Farms «токенів стебла» та проголосувавши за схвалення їхніх помилкових BIP (пропозиція щодо покращення Beanstalk).
Операція призвела до збитків у 182 мільйони доларів, а зловмиснику вдалося отримати 80 мільйонів. Залишок 100 мільйонів доларів пішов на кредитні платформи як комісія за швидкі позики, які зловмисники взяли для фінансування операції. Peckshield — компанія з безпеки блокчейнів і аналітики даних — розповіла в Twitter, що зловмисник відмивав гроші через Tornado Cash, видаливши всі цифрові сліди.
Записи транзакцій, здійснених зловмисником, опубліковані Peckshield.
Джерело: Peckfield
Джерело: Peckfield
Peckshield оголосив, що у великій спробі бути крипто-Робінхудом зловмисник пожертвував 250 000 доларів США в монетах USD (USDC) Ukrainian Crypto Donation і досі має 15 154 ETH на рахунку. Аналітична компанія відстежила, що початкові кошти, необхідні для запуску атаки на Beanstalk Farm, були вилучені з Synapse Protocol. Після цього, коли операція була завершена, прибутки були перераховані на Tornado Cash (близько 25 000 ETH згідно з даними Mist), завдяки чому зловмисника неможливо було відстежити.
Творці Beanstalk розкрили свою особу на своєму сервері Discord, щоб довести, що вони не були причетні до атаки. Вони визнали, що не встановили винуватця, хоча й втратили всі свої активи, які зберігалися в силосі, заявивши, що це була значна сума.
ЧОМУ МОЖНА ЕКСПЛУАТАЦІЯ ФЕРМ ВИРОБНИЦТВА БОБОВОГО СТЕЛБА?
Omniscia, аудитор безпеки смарт-контрактів Beanstalk, заявив в офіційному звіті, що вони не перевіряли код, використаний під час атаки, оскільки цей код було введено після того, як вони перевірили систему. Це означає, що Beanstalk Farms представила новий код після того, як Omniscia перевірила та схвалила безпеку системи. Останнє доповнення дало зловмиснику можливість діяти на незахищений код, введений протоколом. Можливо, зловмисник знав про новий код, який ввів Beanstalk. Представлені коди містять функцію «аварійного прийняття», яка дозволяє Зацікавленим сторонам обійти середній життєвий цикл пропозиції та негайно виконати її, якщо вони мають значну силу голосу.
Зазвичай протокол Beanstalk вимагав, щоб кошти, використані для голосування, залишалися заблокованими протягом певного періоду часу після того, як за пропозицію було проголосовано. Оновлення протоколу через механізм керування BIP дозволило зловмиснику виконати свою пропозицію та отримати заблоковані кошти в рамках шкідливого оновлення.
Здається, ця атака була добре спланованою, оскільки система голосування Beanstalk дозволяє голосувати перед будь-яким активним BIP, що дозволяє застосувати нові голоси до старих BIP. Зловмисник, який використав це, завчасно надіслав свій BIP-18, щоб виконати функцію екстреної фіксації. Як тільки часовий поріг для їх BIP-18 був досягнутий, атака була введена в дію.
У минулому термінові позики використовувалися для злому інших протоколів, таких як Cream Finance, який втратив 130 мільйонів доларів таким же чином. Але ця атака не була спричинена зломом, оскільки всі протоколи керування проектами та смарт-контракти функціонували так, як вони були розроблені. Зловмисник використав недоліки в дизайні протоколу. Після атаки експлуататор обміняв токени BEAN на Ethereum і викинув монети, що спричинило значне падіння вартості BEAN.
Такі події, здається, повторюються у світі проектів DeFi. Сподіваємося, що в майбутньому проекти DeFi переконаються, що всі коди запускаються їхніми аудиторами та утримаються від впровадження несанкціонованих кодів після цього, щоб зменшити ймовірність таких атак.
Автор: Gate.io Спостерігач: М. Олатунджі
* Ця стаття представляє лише погляди спостерігачів і не містить інвестиційних пропозицій.
*Gate.io залишає за собою всі права на цю статтю. Повторне розміщення статті буде дозволено за умови посилання на Gate.io. У всіх інших випадках через порушення авторських прав буде вжито судовий позов.
BTC/USDT
-0.29%
ETH/USDT
+ 0.04%
Розкрийте свою удачу та отримайте $6666 призів
Зареєструйтеся зараз
Отримайте 20 балів зараз
Ексклюзив для нових користувачів: виконайте 2 кроки, щоб негайно отримати бали!
Отримати зараз
