DeFi-протокол Beanstalk Farms потерял $181 млн в результате взлома

Основанный на Ethereum протокол стейблкоина Beanstalk Farms потерял в результате взлома более $181 млн в криптовалютах. Хакер получил около $76 млн.

1/5

The new popular @beanstalkfarms protocol lost $181M+ in today’s exploit, but the attacker only gained $76M.

Let’s figure out what happened👇 pic.twitter.com/sRjzAF8stE

— Igor Igamberdiev (@FrankResearcher) April 17, 2022

По данным директора по исследованиям The Block Игоря Игамбердиева, злоумышленник полностью опустошил контракт протокола.

Атакующий создал предложение по управлению BIP-18, предусматривающее пожертвование в пользу Украины в размере $250 000, которое сфальсифицировал перед исполнением.

Через мгновенные займы он получил:

• 350 млн DAI, 500 млн USDC и 150 млн USDT на Aave;
• 32 млн BEAN на Uniswap;
• 11,6 млн LUSD на SushiSwap.

Средства хакер использовал для добавления ликвидности в пулы Curve в BEAN для получения голосов управления — токенов Stalk.

Затем он развернул и одобрил вредоносное BIP-18, которое перевело все активы из протокола на сторонний кошелек. 

2/5

The main protocol contract has been completely emptied.

User funds have been withdrawn:
- 36M BEAN ($36M)
- 0.54 ETH-BEAN UNI-v2 LP tokens ($33M in ETH and $32M in BEAN)
- 79.2M BEAN3CRV-f Curve LP tokens ($79.2M?)
- 1.6M BEAN-LUSD Curve LP tokens ($1.6M?) pic.twitter.com/mdnr9rCDbm

— Igor Igamberdiev (@FrankResearcher) April 17, 2022

После удаления ликвидности и погашения займов злоумышленник конвертировал оставшиеся средства в 24 800 WETH (~$76 млн). Криптовалюту он отмыл через сервис микширования Tornado Cash. 250 000 USDC ушли на адрес сбора пожертвований в пользу Украины.

Данные: Etherscan.

Проводившая ранее аудит протокола Beanstalk компания Omnicia заявила, что использованные для атаки уязвимости появились уже после проверки кодовой базы. В фирме отметили, что возможность генерировать токены управления с помощью мгновенных займов и незамедлительное исполнение принятого квалифицированным большинством предложения были внедрены BIP-12 и BIP-16 за последние месяцы.

📌 Read our post-mortem analysis of the Beanstalk exploit. The code that was exploited was NOT AUDITED by the omniscia team https://t.co/Ck08mJBazJ pic.twitter.com/S6SO7YaVrw

— Omniscia (@Omniscia_sec) April 17, 2022

Напомним, крупнейшими взломами криптопроектов с начала года остаются инциденты с Wormhole и Ronin — потери $319 млн и $625 млн соответственно.