Un attaquant détourne 182 millions de dollars du protocole stablecoin Beanstalk

Beanstalk Farms, un protocole stablecoin basé sur Ethereum, a été exploité pour 182 millions de dollars dimanche.

L'attaque a été signalée sur Twitter par la société de sécurité blockchain PeckShield, qui a déclaré que l'attaquant avait emporté au moins 80 millions de dollars en Crypto, bien que les pertes subies par le protocole aient été beaucoup plus importantes.

Le marché du stablecoin BEAN de Beanstalk s'est effondré suite à l'attaque. Au moment de la publication, le jeton était en baisse de 86 % par rapport à son cours de base de 1 $, selonCoinGecko.

Contacté pour un commentaire, Beanstalk a indiqué à CoinDesk un message sur son serveur Discord résumant comment l'attaque s'est produite.

Selon le résumé, l'agresseur a éliminé unprêt flash sur la plateforme de prêt Aave, qui a permis d'amasser une grande quantité de jetons de gouvernance natifs de Beanstalk, Stalk. Grâce au pouvoir de vote conféré par ces jetons Stalk, l'attaquant a pu rapidement adopter une proposition de gouvernance malveillante qui a drainé tous les fonds du protocole vers un portefeuille Ethereum privé.

Selon PeckShield, l'attaquant a blanchi tous les fonds volés via Tornado Cash, qui permet aux utilisateurs d'envoyer et de recevoir des Crypto tout en masquant leur source.

Les responsables du projet ont écrit dans le résumé de l'attaque :

Beanstalk n'a pas utilisé de mesure de résistance aux prêts flash pour déterminer le pourcentage de Stalk ayant voté en faveur de la proposition de gouvernance. C'est cette faille qui a permis au pirate d'exploiter Beanstalk.

Les contrats intelligents de Beanstalk ont été audités par Omnicia, une société spécialisée dans la sécurité blockchain. Cependant, l'audit a été réalisé avant l'apparition de la vulnérabilité liée aux prêts flash, a indiqué l'entreprise dans un communiqué publié dimanche.autopsie.

Beanstalk a refusé de fournir des détails à CoinDesk concernant la question de savoir si les fonds seraient remboursés aux utilisateurs, affirmant que davantage de nouvelles seraient communiquées lors d'un événement public prévu dimanche.

L'agresseur semble avoir fait don de 250 000 $ des fonds volés à unPortefeuille de secours ukrainien, selon PeckShield.

Il s'agit de la dernière d'une série d'exploits majeurs dans la Finance décentralisée (DeFi) survenus ces dernières semaines. En mars, la blockchain Ronin d'Axie Infinity a été exploitée pour 625 millions de dollars lors d'une attaque que les autorités américaines ont signalée. lié à la Corée du Nord.

MISE À JOUR (18 avril, 14h19 UTC) :Ajout d'informations sur Tornado Cash.