-Protokol stablecoin berbasis Ethereum, Beanstalk Farms, diserang pada hari Minggu oleh penyerang tak dikenal.
-Beanstalk mengoperasikan pinjaman kripto melalui kontrak cerdas Decentralized finance (DeFi) yang tidak memerlukan agunan untuk meminjamkan sejumlah besar pinjaman kilat. Penyerang dilaporkan telah mengambil pinjaman kilat dari beberapa platform pinjaman seperti Aave, menggunakan dana tersebut untuk memperoleh persentase besar token tata kelola Pohon Kacang, Stalk.
-Kekuatan voting utama mengizinkan pelakunya untuk menyetujui protokol tata kelola jahat yang mereka butuhkan untuk menyedot dana ke dompet pribadi. Penyerang menggunakan uang Tornado untuk mencuci uang dan menutupi jejak digital mereka.
-Operasi tersebut membuat orang bingung ketika penyerang menyumbangkan sebagian uangnya untuk upaya bantuan Ukraina… Pelajari lebih lanjut di badan artikel.
Beanstalk Farm, sebuah proyek DeFi berbasis Ethereum, pada 17 April 2022, mengalami kerugian sebesar $ 182 juta dalam serangan pinjaman kilat oleh pelaku yang tidak diketahui. Beanstalk adalah protokol stablecoin (cryptocurrency yang dipatok ke mata uang Fiat) berbasis kredit yang berjalan di blockchain Ethereum. Koin asli proyek, BEAN, turun 86% dari pasak $1 setelah serangan tersebut.
Serangan yang dimungkinkan oleh dua proposal tata kelola yang berbahaya [BIP-18 dan BIP-19] dikeluarkan oleh penyerang pada hari Sabtu ketika karakter tersebut meminta Kebun Pohon Kacang untuk menyumbangkan dana ke Ukraina. Proposal, yang memiliki pengendara jahat yang melekat padanya, memungkinkan untuk menyedot dana ke dompet ETH pribadi. Penyerang mengambil pinjaman kilat dari platform pinjaman lain seperti Aave, USDC, dan Tether untuk mendanai operasi dengan memperoleh 67% dari token tata kelola Kebun Kacang "token tangkai" dan memilih BIP yang disadap (proposal peningkatan Pohon Kacang) untuk disetujui.
Operasi tersebut mengakibatkan kerugian $ 182 juta, dan penyerang berhasil lolos dengan $ 80 juta. Sisa $ 100 juta pergi ke platform pinjaman sebagai biaya untuk pinjaman kilat yang diambil penyerang untuk mendanai operasi. Peckshield —perusahaan keamanan dan analisis data blockchain — mengungkapkan di Twitter bahwa penyerang mencuci uang melalui uang Tornado, menghapus semua jejak digital.
Catatan transaksi yang dilakukan oleh penyerang seperti yang dirilis oleh Peckshield.
Sumber: Peckfield
Peckshield mengumumkan bahwa dalam upaya besar untuk menjadi Robinhood kripto, penyerang telah menyumbangkan $250.000 dalam koin USD (USDC) ke Donasi Kripto Ukraina dan masih menyimpan 15.154 ETH dalam sebuah akun. Perusahaan analitik melacak bahwa dana awal yang diperlukan untuk meluncurkan serangan ke Kebun Pohon Kacang telah ditarik dari Protokol Synapse. Setelah itu, ketika operasi selesai, keuntungan disimpan di Tornado Cash (sekitar 25.000 ETH menurut jalur Mist), membuat penyerang tidak dapat dilacak.
Pembuat Beanstalk mengungkapkan identitas mereka di server perselisihan mereka untuk membuktikan bahwa mereka tidak terlibat dalam serangan itu. Mereka mengaku belum mengidentifikasi pelakunya, meski kehilangan semua aset yang disimpan di Silo, dengan alasan jumlah yang cukup besar.
MENGAPA PERTANIAN KACANG BISA DIMANFAATKAN?
Omniscia, auditor keamanan kontrak pintar Beanstalk, mengatakan dalam sebuah laporan resmi bahwa mereka tidak mengaudit kode yang dieksploitasi dalam serangan itu karena kode itu diperkenalkan setelah mereka mengaudit sistem. Ini berarti Beanstalk Farms memperkenalkan kode baru setelah Omniscia mengaudit dan menyetujui keamanan sistem. Penambahan terbaru memberi kelonggaran kepada penyerang untuk bertindak berdasarkan kode yang tidak dilindungi yang diperkenalkan oleh protokol. Kemungkinan penyerang mengetahui kode baru yang diperkenalkan Pohon Kacang. Kode yang diperkenalkan berisi fungsi 'komit darurat' yang memungkinkan Pemangku Kepentingan untuk menghindari siklus hidup rata-rata proposal dan segera mengeksekusinya jika mereka memiliki hak suara yang besar.
Biasanya, protokol Pohon Kacang mensyaratkan bahwa dana yang digunakan untuk pemungutan suara akan tetap terkunci untuk jangka waktu tertentu setelah proposal dipilih. Pembaruan protokol melalui mekanisme tata kelola BIP memungkinkan penyerang untuk mengeksekusi proposal mereka dan mengambil dana mereka yang terkunci sebagai bagian dari pembaruan berbahaya.
Serangan itu tampaknya merupakan serangan yang terencana dengan baik karena sistem pemungutan suara Pohon Kacang mengizinkan pemberian suara sebelum BIP aktif apa pun, yang memungkinkan pemungutan suara baru untuk diterapkan pada BIP yang lebih lama. Penyerang yang menggunakan ini mengirimkan BIP-18 mereka sebelumnya untuk memenuhi fungsi komit darurat. Setelah ambang waktu untuk BIP-18 mereka terpenuhi, serangan itu dilakukan.
Di masa lalu, pinjaman kilat telah digunakan untuk meretas protokol lain seperti Cream Finance, yang kehilangan $130 juta dengan cara yang sama. Tetapi serangan ini tidak disebabkan oleh peretasan karena semua protokol tata kelola proyek dan kontrak pintar berfungsi seperti yang dirancang. Penyerang membuat titik mengeksploitasi kelemahan dalam desain protokol. Setelah serangan itu, pengeksploitasi menukar token BEAN dengan Ethereum dan membuang koin yang menyebabkan penurunan besar dalam nilai BEAN.
Peristiwa semacam itu tampaknya menjadi peristiwa yang berulang di dunia proyek DeFi. Mudah-mudahan, di masa depan proyek DeFi akan memastikan untuk menjalankan semua kode oleh auditor mereka dan menahan diri dari memperkenalkan kode yang tidak sah setelahnya untuk mengurangi kemungkinan serangan tersebut.
Penulis: Gate.io Pengamat: M. Olatunji
* Artikel ini hanya mewakili pandangan para pengamat dan bukan merupakan saran investasi.
*Gate.io memiliki semua hak atas artikel ini. Pengeposan ulang artikel akan diizinkan asalkan Gate.io dirujuk. Dalam semua kasus lain, tindakan hukum akan diambil karena pelanggaran hak cipta.
ETH/USDT
+ 2.09%
BTC/USDT
+ 3.96%
Buka Kotak Keberuntungan Anda dan Dapatkan Hadiah $6666
This page is not intended for residents and citizens of Spain, Cuba, Bolivia, Venezuela and other Spanish-speaking jurisdictions listed in the Restricted Locations related terms of Gate.io's User Agreement.Español
This page is not intended for residents and citizens of France, Canada and other French-speaking jurisdictions listed in the Restricted Locations related terms of Gate.io's User Agreement.Français (Afrique)