![person holding black android smartphone](https://octoverse.com.tw/wp-content/uploads/2022/04/k05udh2lhfa.jpg)
穩定幣協議Beanstalk Farms在DeFi治理漏洞中 損失1.82 億美元
穩定幣協議看到自己的治理提案系統被利用,使惡意行為者能夠提取其所有 1.82 億美元的抵押品。
![person holding black android smartphone](https://octoverse.com.tw/wp-content/uploads/2022/04/k05udh2lhfa-1024x684.jpg)
基於信用的穩定幣協議 Beanstalk Farms 因兩項險惡的治理提議和一次閃電貸款攻擊導致的安全漏洞損失了全部 1.82 億美元的抵押品。
該協議的問題是由漏洞利用者於 4 月 16 日發布的可疑治理提案BIP-18 和 BIP-19 引發的,該提案要求該協議向烏克蘭捐款。然而,根據智能合約審計師BlockSec的說法,這些提議附有惡意的搭檔,最終造成了協議資金的沉洞。
去中心化金融 ( DeFi ) 協議的最新安全漏洞發生在 UTC 時間下午 12:24。當時,利用者從 AAVE ( AAVE ) 協議中取出了 10 億美元的閃電貸款,以 DAI ( DAI )、美元硬幣 ( USDC ) 和Tether ( USDT ) 穩定幣計價。他們利用這些資金積累了足夠的資產來接管協議 67% 的治理並批准他們自己的提案。
閃電貸必須在一個區塊內執行和償還,通常需要同時調用多個智能合約才能完成。閃貸過去曾被用於執行黑客或其他協議的安全漏洞。Beanstalk Farms 是以太坊上的去中心化算法穩定幣發行平台。
這個案例在技術上不是黑客攻擊,因為智能合約和治理程序按設計運行。他們的設計缺陷被利用了,項目發言人“Publius”在 4 月 18 日的一次會議上承認了這一點,他說:
“不幸的是,使 beanstalk 處於成功位置的相同治理程序最終導致了它的失敗。”
區塊鏈安全分析公司 PeckShield 在世界標準時間 4 月 17 日下午 12:41 通過Twitter通知 Beanstalk 團隊,不祥的聲明可能存在問題:“嗨,@beanstalkFarms,你可能想看看。”
剝削者將 BEAN 換成 ETH,然後將硬幣發送到 Tornado Cash 以掩蓋他們的數字踪跡。但是,他們還向烏克蘭加密捐贈錢包發送了 250,000 USDC。
世界標準時間 4 月 17 日晚上 11:49,Publius 寫道,由於沒有風險資本支持來彌補損失,該項目可能會失敗,並補充說:“我們被搞砸了。”
4 月 18 日,在 Beanstalk Discord 頻道的一次團隊和社區會議上,Publius 對開發該項目的三個人進行了 doxxed。他們是本傑明·溫特勞布、布倫丹·桑德森和邁克爾·蒙托亞,他們一起就讀於芝加哥大學並構思了 Beanstalk 農場。
蒙托亞說,該小組已經聯繫了聯邦調查局(FBI)犯罪中心,並將“全力配合他們追查肇事者並追回資金”。
該協議的智能合約已暫停,所有治理權限已被團隊撤銷。
當 Cointelegraph 詢問他們是否認為 FBI 有任何法律途徑可以幫助他們時,該團隊沒有做出回應,但 Publius 認為這絕對是一起應該調查的盜竊案。
儘管 Beanstalk 的個人損失慘重,但在艱難時期,Beanstalk 的社區大多支持團隊。然而,社區成員“Astrabean”認為團隊應該對這次攻擊承擔更多責任,而不是接受所發生的事情是一個誠實的錯誤,該項目必須繼續前進。他說:“我希望你們作為領導人對所發生的事情負責。”
社區成員“CharlieP”回應了對協議信任的擔憂。他問團隊“你是說你對這項工作沒有責任嗎?如果是這樣的話,我們有什麼資格相信這不會再次發生?”
Publius 回應說,該項目只是一個開源代碼實驗,而不是一項業務,他和團隊都不應對所發生的事情負責。他加了,
“當你要求我們承擔責任時,這真的很不合適。”
(原文)
※版權所有,歡迎媒體聯絡我們轉載;登錄本網按讚、留言、分享,皆可獲得 OCTOVERSE 點數(8-Coin),累積後可兌換獎品,相關辦法以官網公布為準※