Beanstalk Farms, một giao thức stablecoin xây dựng trên Ethereum, đã bị hack hơn $182 triệu đô la vào Chủ nhật.
Cuộc tấn công đã được gắn cờ trên Twitter bởi công ty bảo mật blockchain PeckShield, công ty cho biết hacker đã kiếm được ít nhất $80 triệu đô la tiền điện tử, nhưng thực chất thiệt hại do giao thức phải chịu lớn hơn nhiều.
Stablecoin BEAN của Beanstalk sụp đổ là kết quả của cuộc tấn công. Vào thời điểm viết bài, stablecoin này đã giảm 77% so với mức neo 1 đô la của nó theo CoinGecko .
1/ The @BeanstalkFarms was exploited in a flurry of txs (https://t.co/PMsdP5dnJG and https://t.co/wyHe3ARZgU),
leading to the gain of $80+M for the hacker (The protocol loss may be larger), including 24,830 ETH and 36M BEAN.— PeckShield Inc. (@peckshield) April 17, 2022
Khi được đưa ra bình luận, Beanstalk đã tóm tắt cách thức cuộc tấn công xảy ra.
Theo bản tóm tắt, kẻ tấn công đã thực hiện một flash-loan trên nền tảng lending Aave, cho phép chúng tích lũy một lượng lớn token quản trị gốc của Beanstalk là Stalk. Với quyền biểu quyết được cấp bởi các token Stalk này, kẻ tấn công đã có thể nhanh chóng thông qua một đề xuất quản trị độc hại rút hết tiền có trong giao thức vào một ví Ethereum riêng.
Những người đứng đầu dự án đã viết trong bản tóm tắt cuộc tấn công:
“Beanstalk đã không sử dụng một biện pháp chống flash-loan để xác định phần trăm Stalk đã được sử dụng để bỏ phiếu ủng hộ BIP. Đây là lỗi đã giúp cho hacker khai thác được Beanstalk. “
Các hợp đồng thông minh của Beanstalk đã được kiểm toán bởi công ty bảo mật blockchain Omnicia. Tuy nhiên, cuộc kiểm tra đã được hoàn thành trước khi xuất hiện lỗ hổng flash-loan, công ty cho biết trong một cuộc kiểm tra giao thức hôm Chủ nhật.
Beanstalk từ chối cung cấp thông tin chi tiết về việc liệu tiền có được hoàn trả cho người dùng hay không, cho biết sẽ có thêm tin tức trong một sự kiện ở tòa thị chính được lên lịch vào Chủ nhật.
Theo PeckShield, kẻ tấn công dường như đã quyên góp 250.000 đô la trong số tiền bị đánh cắp vào một ví cứu trợ của Ukraine.
Đây là lần mới nhất trong chuỗi các vụ khai thác DeFi lớn đã diễn ra trong vài tuần qua. Vào tháng 3, Ronin Blockchain của Axie Infinity đã bị khai thác và thiệt hại 625 triệu đô la trong một cuộc tấn công mà các quan chức của Mỹ đã găn mác có liên quan tới Triều Tiên.
Nguồn: coindesk.com