Beanstalk Farms теряет $182 млн в результате нарушения правил управления DeFi

Основанный на кредитах протокол стабильных криптовалют Beanstalk Farms потерял весь свой залог в размере 182 миллионов долларов в результате нарушения безопасности, вызванного двумя зловещими предложениями по управлению и атакой флэш-кредитов.

Проблема для протокола возникла из-за подозрительных предложений по управлению BIP-18 и BIP-19, выпущенных 16 апреля эксплойером, который просил протокол пожертвовать средства Украине. Однако к этим предложениям был прикреплен вредоносный ридер, который в конечном счете и создал воронку средств из протокола, согласно аудитору смарт-контрактов BlockSec.

Эта последняя брешь в безопасности протокола децентрализованных финансов (DeFi) произошла в 12:24 дня по Гринвичу. В это время злоумышленники взяли из протокола AAVE (AAVE) флэш-кредиты на сумму $1 млрд, номинированные в стейблкоинах DAI (DAI), USD Coin (USDC) и Tether (USDT). Они использовали эти средства для накопления достаточного количества активов, чтобы взять на себя 67% управления протоколом и утвердить собственные предложения.

Мы прилагаем все усилия, чтобы попытаться продвинуться вперед. Как децентрализованный проект, мы просим сообщество DeFi и экспертов по анализу цепочек помочь нам ограничить возможности эксплуататора по выводу средств через CEX. Если эксплуататор открыт для обсуждения, мы тоже готовы.

– Beanstalk Farms (@BeanstalkFarms) 17 апреля 2022 г.

Флэш-кредит должен быть выполнен и погашен в течение одного блока, и для его завершения обычно используется сразу несколько смарт-контрактов. В прошлом флэш-кредиты использовались для взлома или взлома безопасности других протоколов. Beanstalk Farms – это децентрализованная алгоритмическая платформа для выпуска стабильных монет на Ethereum.

Этот случай технически не был взломом, поскольку смарт-контракты и процедуры управления функционировали так, как было задумано. Были использованы недостатки в их конструкции, что представитель проекта “Publius” признал на встрече 18 апреля, когда сказал:

“К сожалению, та же процедура управления, которая обеспечила успех Beanstalk, в конечном итоге стала его гибелью”.

Фирма PeckShield, занимающаяся анализом безопасности блокчейна, уведомила команду Beanstalk через Twitter в 12:41 вечера по Гринвичу 17 апреля, что может возникнуть проблема со зловещим заявлением: “Привет, @beanstalkFarms, возможно, вы захотите взглянуть”.

Наш первоначальный анализ показывает, что потери @BeanstalkFarms составляют ~$182 млн! Вот разбивка украденных активов: 79 238 241 BEAN3CRV-f, 1 637 956 BEANLUSD-f, 36 084 584 BEAN и 0,54 UNI-V2_WETH_BEAN.

– PeckShield Inc. (@peckshield) 17 апреля 2022 г.

В этот момент было уже слишком поздно. Эксплойтер уже успел завладеть примерно 80 миллионами долларов в Ether (ETH) и Beans (BEAN), а весь протокол потерял 182 миллиона долларов в общей заблокированной стоимости (TVL), по данным PeckShield. По данным CoinGecko, BEAN в настоящее время упал примерно на 83%, торгуясь по цене $0,17, но в момент, когда эксплуататор сбросил свои токены, его цена составляла $0,06.

Эксплуататоры обменяли BEAN на ETH, а затем отправили монеты на Tornado Cash, чтобы замести свои цифровые следы. Однако они также отправили 250 000 USDC на кошелек Ukraine Crypto Donation.

В 23:49 UTC 17 апреля Publius написал, что проект, скорее всего, потерян, поскольку нет венчурной поддержки, чтобы возместить потери, добавив: “We are f**ked. “

На встрече команды и сообщества на канале Beanstalk Discord 18 апреля Публий доксировал трех человек, разработавших проект. Это Бенджамин Вайнтрауб, Брендан Сандерсон и Майкл Монтойя, которые вместе учились в Чикагском университете и придумали Beanstalk Farms.

Монтойя заявил, что команда обратилась в криминальный центр Федерального бюро расследований (ФБР) и будет “полностью сотрудничать с ними, чтобы выследить преступников и вернуть средства”. “

Смарт-контракты протокола были приостановлены, а все привилегии управления были отозваны командой.

Команда не ответила на вопрос Cointelegraph, есть ли, по их мнению, у ФБР какие-либо юридические возможности помочь им, но Публий считает, что это определенно кража, которая должна быть расследована.

Сообщество Beanstalk в основном поддерживало команду в это трудное время, несмотря на их собственные огромные личные потери. Однако член сообщества “Astrabean” считает, что команда должна взять на себя большую ответственность за атаку, а не принимать произошедшее как честную ошибку, от которой проект должен двигаться дальше. Он заявил: “Я бы хотел, чтобы вы как лидеры взяли на себя ответственность за случившееся”.

Член сообщества “CharlieP” выразил обеспокоенность по поводу доверия к протоколу. Он спросил команду: “Вы хотите сказать, что не несете никакой ответственности за это начинание? Если это так, то кому мы можем верить, что подобное не повторится?”

Публиус ответил, что проект – это всего лишь эксперимент с открытым кодом, а не бизнес, и что ни он, ни команда не должны нести ответственность за случившееся. Он добавил,

“Когда вы просите нас взять на себя ответственность, это действительно неуместно”.