Kredi tabanlı stabilcoin protokolü Beanstalk Farms, iki uğursuz yönetişim önerisi ve bir hızlı kredi saldırısının neden olduğu bir güvenlik ihlalinden 182 milyon dolarlık teminatının tamamını kaybetti.
Protokolün sorunu, protokolün Ukrayna’ya bağışta bulunmasını isteyen istismarcı tarafından 16 Nisan’da yayınlanan şüpheli BIP-18 ve BIP-19 teklifleri tarafından tohumlandı. Bununla birlikte, bu tekliflerin kendilerine bağlı kötü niyetli bir sürücüsü vardı ve bu da akıllı sözleşme denetçisine göre nihayetinde protokolden fonların batmasını sağladı. BlokSn.
Merkezi olmayan bir finans (DeFi) protokolünün bu en son güvenlik ihlali UTC saat 12:24’te gerçekleşti. O zaman, istismarcı DAI (DAI), USD Coin (USDC) ve Tether (USDT) sabit paraları olarak adlandırılan AAVE (AAVE) protokolünden 1 milyar dolarlık flaş kredi aldı. Bu fonları, protokolün yönetiminin %67’sini devralacak ve kendi tekliflerini onaylayacak kadar varlık biriktirmek için kullandılar.
İlerlemek için her türlü çabayı gösteriyoruz. Merkezi olmayan bir proje olarak, DeFi topluluğundan ve zincir analizi uzmanlarından, istismarcının CEX’ler aracılığıyla para çekme yeteneğini sınırlamamıza yardımcı olmalarını istiyoruz. Sömürücü tartışmaya açıksa biz de varız. https://t.co/fwceVz6hbi
— Fasulye Sırığı Çiftlikleri (@BeanstalkFarms) 17 Nisan 2022
Bir flash kredi, tek bir blok içinde yürütülmeli ve geri ödenmelidir ve genellikle tamamlanması için aynı anda birkaç akıllı sözleşme çağrısında bulunur. Flash krediler geçmişte, diğer protokollerin saldırılarını veya güvenlik açıklarını gerçekleştirmek için kullanılmıştır. Beanstalk Farms, Ethereum üzerinde merkezi olmayan bir algoritmik stabilcoin veren platformdur.
Akıllı sözleşmeler ve yönetişim prosedürleri tasarlandığı gibi çalıştığı için bu vaka teknik olarak bir hack değildi. Tasarımlarındaki kusurlardan yararlanıldı ve proje sözcüsü “Publius” 18 Nisan’da yaptığı bir toplantıda şunları söyledi:
“Fasulye sırığını başarılı bir konuma getiren aynı yönetişim prosedürünün nihayetinde onu geri alması talihsiz bir durum.”
Blockchain güvenlik analiz firması PeckShield, Beanstalk ekibini şu yollarla bilgilendirdi: heyecan 17 Nisan saat 12:41 UTC’de, “Merhaba, @beanstalkFarms, bir göz atmak isteyebilirsiniz.”
İlk analizimiz şunu gösteriyor: @BeanstalkÇiftlikler kayıp ~182 milyon dolar! Çalınan varlıkların dağılımı: 79.238.241 BEAN3CRV-f, 1.637.956 BEANLUSD-f, 36.084.584 BEAN ve 0.54 UNI-V2_WETH_BEAN. https://t.co/8OzPn8F8ot
— PeckShield Inc. (@peckshield) 17 Nisan 2022
O noktada, çok geçti. İstismarcı, Ether (ETH) ve Beans (BEAN) cinsinden yaklaşık 80 milyon dolar kazanmıştı ve tüm protokol 182 milyon dolarlık kilitli toplam değerini (TVL) kaybetti. PeckShield. BEAN şu anda CoinGecko’ya göre 0.17 $’dan yaklaşık %83 düşüşle işlem görüyor, ancak istismarcı jetonlarını terk ettiğinde 0.06 $’a düştü.
İstismarcı, BEAN’i ETH ile takas etti ve ardından dijital izlerini kapatmak için paraları Tornado Cash’e gönderdi. Ancak, Ukrayna Kripto Bağış cüzdanına da 250.000 USDC gönderdiler.
17 Nisan UTC saat 23:49’da Publius, kayıpları telafi edecek herhangi bir risk sermayesi desteği olmadığı için projenin büyük olasılıkla kaybedileceğini yazdı ve “Sikildik” diye ekledi.
18 Nisan’da Beanstalk Discord kanalında bir ekip ve topluluk toplantısında, Publius projeyi geliştiren üç kişiyi doxxed. Bunlar, Chicago Üniversitesi’ne birlikte katılan ve Beanstalk Farms’ı tasarlayan Benjamin Weintraub, Brendan Sanderson ve Michael Montoya.
Montoya, ekibin Federal Soruşturma Bürosu (FBI) Suç Merkezi’ne ulaştığını ve “faillerin izini sürmek ve fonları geri almak için onlarla tam olarak işbirliği yapacağını” söyledi.
Protokolün akıllı sözleşmeleri duraklatıldı ve tüm yönetim ayrıcalıkları ekip tarafından iptal edildi.
İlişkili: Kuzey Koreli Lazarus Grubu’nun Ronin Bridge hackinin arkasında olduğu iddia ediliyor
Cointelegraph, FBI’ın kendilerine yardım etmek için herhangi bir yasal yolu olup olmadığına inanıp inanmadıklarını sorduğunda ekip yanıt vermedi, ancak Publius bunun kesinlikle araştırılması gereken bir hırsızlık olduğuna inanıyor.
Beanstalk topluluğu, kendi muazzam kişisel kayıplarına rağmen, deneme zamanında çoğunlukla takımı destekledi. Ancak topluluk üyesi “Astrabean”, yaşananları projenin devam etmesi gereken dürüst bir hata olarak kabul etmek yerine ekibin saldırı için daha fazla sorumluluk alması gerektiğine inanıyor. “Liderler olarak olanlardan sorumlu olmanızı isterdim” dedi.
Topluluk üyesi “CharlieP”, protokole duyulan güven konusundaki endişeleri yineledi. Takıma “Bu çaba için hiçbir sorumluluğunuz olmadığını mı söylüyorsunuz? Eğer durum buysa, bunun bir daha olmayacağına kime güveneceğiz?”
Publius, projenin yalnızca bir açık kaynak kod deneyi olduğunu, bir işletme olmadığını ve olanlardan ne kendisinin ne de ekibin sorumlu tutulmaması gerektiğini söyledi. Ekledi,
“Bizden sorumluluk almamızı istediğinde, bu gerçekten uygunsuz.”
