L'attaccante sottrae 182 milioni di dollari dal protocollo della stablecoin Beanstalk

Beanstalk Farms, un protocollo stablecoin basato su Ethereum, è stato sfruttato domenica per 182 milioni di dollari.

L'attacco è stato segnalato su Twitter dalla società di sicurezza blockchain PeckShield, che ha affermato che l'aggressore ha rubato almeno 80 milioni di dollari in Cripto, sebbene le perdite subite dal protocollo siano state molto più ingenti.

Il mercato della stablecoin BEAN di Beanstalk è crollato a seguito dell'attacco. Al momento della stampa, il token era in calo dell'86% rispetto al suo peg di $ 1, secondoCoinGecko.

Contattata per un commento, Beanstalk ha rimandato CoinDesk a un post sul suo server Discord che riassumeva come si è verificato l'attacco.

Secondo il riassunto, l'aggressore ha tirato fuori unprestito flash sulla piattaforma di prestito Aave, che è stata utilizzata per accumulare una grande quantità di token di governance nativi di Beanstalk, stalk. Con il potere di voto concesso da questi token stalk, l'attaccante è stato in grado di approvare rapidamente una proposta di governance dannosa che ha prosciugato tutti i fondi del protocollo in un portafoglio Ethereum privato.

Secondo PeckShield, l'aggressore ha riciclato tutti i fondi rubati tramite Tornado Cash, che consente agli utenti di inviare e ricevere Cripto nascondendone l'origine.

I responsabili del progetto hanno scritto nel riepilogo dell'attacco:

"Beanstalk non ha utilizzato una misura di resistenza ai prestiti flash per determinare la % di Stalk che aveva votato a favore della [proposta di governance]. Questo è stato l'errore che ha permesso all'hacker di sfruttare Beanstalk."

Gli smart contract di Beanstalk sono stati sottoposti a verifica da parte della società di sicurezza blockchain Omnicia. Tuttavia, la verifica è stata completata prima dell'introduzione della vulnerabilità del prestito flash, ha affermato la società in un articolo di domenicapost-mortem.

Beanstalk ha rifiutato di fornire dettagli a CoinDesk in merito al rimborso dei fondi agli utenti, affermando che ulteriori novità arriveranno in un evento pubblico programmato per domenica.

L'aggressore sembra aver donato 250.000 dollari dei fondi rubati a unPortafoglio di soccorso ucraino, secondo PeckShield.

Questo è l'ultimo di una serie di importanti exploit Finanza decentralizzata (DeFi) verificatisi nelle ultime settimane. A marzo, la Ronin Blockchain di Axie Infinity è stata sfruttata per 625 milioni di dollari in un attacco che i funzionari statunitensi hanno legato alla Corea del Nord.

AGGIORNAMENTO (18 aprile, 14:19 UTC):Aggiunte informazioni su Tornado Cash.