Основанный на Ethereum протокол стейблкоина Beanstalk Farms потерял в результате взлома более $181 млн в криптовалютах. Хакер получил около $76 млн.
1/5
The new popular @beanstalkfarms protocol lost $181M+ in today’s exploit, but the attacker only gained $76M.
Let’s figure out what happened👇 pic.twitter.com/sRjzAF8stE
По данным директора по исследованиям The Block Игоря Игамбердиева, злоумышленник полностью опустошил контракт протокола.
Атакующий создал предложение по управлению BIP-18, предусматривающее пожертвование в пользу Украины в размере $250 000, которое сфальсифицировал перед исполнением.
Через мгновенные займы он получил:
- 350 млн DAI, 500 млн USDC и 150 млн USDT на Aave;
- 32 млн BEAN на Uniswap;
- 11,6 млн LUSD на SushiSwap.
Средства хакер использовал для добавления ликвидности в пулы Curve в BEAN для получения голосов управления — токенов Stalk.
Затем он развернул и одобрил вредоносное BIP-18, которое перевело все активы из протокола на сторонний кошелек.
2/5
The main protocol contract has been completely emptied.
User funds have been withdrawn:
- 36M BEAN ($36M)
- 0.54 ETH-BEAN UNI-v2 LP tokens ($33M in ETH and $32M in BEAN)
- 79.2M BEAN3CRV-f Curve LP tokens ($79.2M?)
- 1.6M BEAN-LUSD Curve LP tokens ($1.6M?) pic.twitter.com/mdnr9rCDbm
После удаления ликвидности и погашения займов злоумышленник конвертировал оставшиеся средства в 24 800 WETH (~$76 млн). Криптовалюту он отмыл через сервис микширования Tornado Cash. 250 000 USDC ушли на адрес сбора пожертвований в пользу Украины.
Проводившая ранее аудит протокола Beanstalk компания Omnicia заявила, что использованные для атаки уязвимости появились уже после проверки кодовой базы. В фирме отметили, что возможность генерировать токены управления с помощью мгновенных займов и незамедлительное исполнение принятого квалифицированным большинством предложения были внедрены BIP-12 и BIP-16 за последние месяцы.
📌 Read our post-mortem analysis of the Beanstalk exploit. The code that was exploited was NOT AUDITED by the omniscia team https://t.co/Ck08mJBazJ pic.twitter.com/S6SO7YaVrw
— Omniscia (@Omniscia_sec) April 17, 2022Напомним, крупнейшими взломами криптопроектов с начала года остаются инциденты с Wormhole и Ronin — потери $319 млн и $625 млн соответственно.