🔑 Gate.ioアカウント登録
👨💼 24時間以内にKYC認証を完了
🎁 ポイント特典受取
Gateブログ
暗号資産に関するニュースや洞察へのゲートウェイ
ビーンズトークファームズはフラッシュローン攻撃で1億8,200万ドルを失った
09 May 18:52
<img onerror="this.className='errimg'" src="82mToFlashLoanAttack_web.jpg" 82mtoflashloanattack_web.jpg"="" alt="" class="errimg">
- イーサリアムベースのステーブルコインプロトコルであるBeanstalk Farmsは、日曜日に正体不明の攻撃者によって攻撃されました。
- Beanstalkは、フラッシュローンで巨額を融資するために担保を必要としない分散型金融(DeFi)スマートコントラクトを介して暗号融資を運営しています。 攻撃者は、Aaveのようないくつかの融資プラットフォームからフラッシュローンを借り、その資金を使ってBeanstalkガバナンストークンStalkの大部分を取得していると報告されました。
- 主要な投票権は、犯人が資金をプライベートウォレットに吸い上げるために必要な悪意のあるガバナンスプロトコルを承認することを許可しました。 攻撃者はTornadoの現金を使用して資金を洗浄し、デジタルトラックを隠しました。
-この作戦は、攻撃者がウクライナの救援活動に資金の一部を寄付したとき、人々を混乱させました...詳しくは、記事の本文をご覧ください。
イーサリアムを拠点とするDeFiプロジェクトであるBeanstalk Farmは、2022年4月17日、正体不明の犯人によるフラッシュローン攻撃で1億8,200万ドルの画期的な損失を被りました。 Beanstalkは、イーサリアムブロックチェーン上で実行されるクレジットベースのステーブルコイン(フィアット通貨に固定された暗号通貨)プロトコルです。 このプロジェクトのネイティブコインであるBEANは、攻撃後、1ドルのペッグから86%下落した。
2つの有害なガバナンス提案[BIP-18とBIP-19]によって可能になった攻撃は、土曜日にキャラクターがBeanstalk Farmsにウクライナに資金を寄付するように頼んだときに攻撃者によって発行されました。 悪意のあるライダーが添付されたこの提案は、資金をプライベートETHウォレットに吸い上げることを可能にしました。 攻撃者は、Aave、USDC、 Tether などの他の融資プラットフォームからフラッシュローンを取得し、Beanstalk Farmsガバナンストークンの67%の「ストーカートークン」を取得し、盗聴されたBIP(Beanstalk改善提案)を投票して承認することで、運用に資金を提供しました。
この作戦の結果、1億8,200万ドルの損失が発生し、攻撃者は8,000万ドルを逃れました。 残りの1億ドルは、攻撃者が作戦に資金を供給するために取ったフラッシュローンの手数料として、貸出プラットフォームに送られました。 ブロックチェーンのセキュリティとデータ分析の会社であるPeckshieldは、攻撃者がTornadoの現金を介してお金をロンダリングし、すべてのデジタルフットプリントを削除したことをTwitterで明らかにしました。
Peckshieldは、暗号ロビンフッドになるための大きな試みで、攻撃者はウクライナの暗号寄付にUSDコイン(USDC)で$ 250,000を寄付し、まだアカウントに15,154 ETHを保持していると発表しました。 分析会社は、Beanstalk Farmへの攻撃を開始するために必要な初期資金がSynapse Protocolから撤回されたことをたどった。 その後、作戦が完了すると、利益はトルネードキャッシュ(ミストトラックによると約25,000 ETH)に預けられ、攻撃者は追跡不能になりました。
Beanstalkの作成者は、攻撃に関与していないことを証明するために、Discordサーバーで身元を開示しました。 彼らは犯人を特定していないことを認めたが、サイロに預けられたすべての資産を失い、それはかなりの金額だったと述べた。
なぜ豆の茎の農場が搾取されるのでしょうか?
Beanstalkのスマートコントラクトセキュリティ監査人であるOmnisciaは、公式レポートで、攻撃で悪用されたコードはシステムを監査した後に導入されたため、監査しなかったと述べた。 これは、Beanstalk Farms が Omniscia がシステムのセキュリティを監査して承認した後、新しいコードを導入したことを意味します。 最新の追加により、攻撃者はプロトコルによって導入された保護されていないコードに行動する余地を得ました。 攻撃者は Beanstalk が導入した新しいコードを認識していた可能性があります。 導入されたコードには、利害関係者が提案の平均ライフサイクルを回避し、主要な投票権を持っている場合にすぐに実行できるようにする「緊急コミット」機能が含まれています。
通常、Beanstalkプロトコルは、投票に利用された資金は、提案が投票された後、一定期間ロックされたままにすることを要求しました。 BIP ガバナンス メカニズムを介したプロトコルのアップグレードにより、攻撃者は提案を実行し、悪意のある更新の一部としてロックされた資金を取得することができました。
Beanstalk の投票システムでは、アクティブな BIP の前に投票を許可し、古い BIP に新しい投票を適用できるため、この攻撃はよく計画されたヒットのようです。 これを使用する攻撃者は、緊急コミット機能を満たすために事前に BIP-18 を送信しました。 BIP-18の時間しきい値に達すると、攻撃は運用が開始されました。
過去には、フラッシュローンは、同じ方法で$ 130mを失ったCream Financeのような他のプロトコルをハックするために使用されてきました。 しかし、この攻撃は、すべてのプロジェクトのガバナンスプロトコルとスマートコントラクトが設計どおりに機能していたため、ハッキングによって引き起こされたものではありませんでした。 攻撃者は、プロトコルの設計上の欠陥を悪用することを指摘しました。 攻撃後、エクスプロイターはBEANトークンをEthereumと交換し、コインをダンプしてBEANの価値を大幅に低下させました。
このようなイベントは、DeFiプロジェクトの世界で繰り返されるイベントのようです。 うまくいけば、将来のDeFiプロジェクトでは、監査人によってすべてのコードを実行し、そのような攻撃の可能性を減らすためにその後不正なコードを導入することを控えてください。
著者:Gate.io オブザーバー: M.オラトゥンジ
*この記事はオブザーバーの見解のみを表しており、投資提案を構成するものではありません。
*Gate.io は、この記事に対するすべての権利を留保します。 記事の再投稿は、参照されている限り許可さ Gate.io ます。 それ以外の場合、著作権侵害により法的措置が取られます。
- イーサリアムベースのステーブルコインプロトコルであるBeanstalk Farmsは、日曜日に正体不明の攻撃者によって攻撃されました。
- Beanstalkは、フラッシュローンで巨額を融資するために担保を必要としない分散型金融(DeFi)スマートコントラクトを介して暗号融資を運営しています。 攻撃者は、Aaveのようないくつかの融資プラットフォームからフラッシュローンを借り、その資金を使ってBeanstalkガバナンストークンStalkの大部分を取得していると報告されました。
- 主要な投票権は、犯人が資金をプライベートウォレットに吸い上げるために必要な悪意のあるガバナンスプロトコルを承認することを許可しました。 攻撃者はTornadoの現金を使用して資金を洗浄し、デジタルトラックを隠しました。
-この作戦は、攻撃者がウクライナの救援活動に資金の一部を寄付したとき、人々を混乱させました...詳しくは、記事の本文をご覧ください。
イーサリアムを拠点とするDeFiプロジェクトであるBeanstalk Farmは、2022年4月17日、正体不明の犯人によるフラッシュローン攻撃で1億8,200万ドルの画期的な損失を被りました。 Beanstalkは、イーサリアムブロックチェーン上で実行されるクレジットベースのステーブルコイン(フィアット通貨に固定された暗号通貨)プロトコルです。 このプロジェクトのネイティブコインであるBEANは、攻撃後、1ドルのペッグから86%下落した。
2つの有害なガバナンス提案[BIP-18とBIP-19]によって可能になった攻撃は、土曜日にキャラクターがBeanstalk Farmsにウクライナに資金を寄付するように頼んだときに攻撃者によって発行されました。 悪意のあるライダーが添付されたこの提案は、資金をプライベートETHウォレットに吸い上げることを可能にしました。 攻撃者は、Aave、USDC、 Tether などの他の融資プラットフォームからフラッシュローンを取得し、Beanstalk Farmsガバナンストークンの67%の「ストーカートークン」を取得し、盗聴されたBIP(Beanstalk改善提案)を投票して承認することで、運用に資金を提供しました。
この作戦の結果、1億8,200万ドルの損失が発生し、攻撃者は8,000万ドルを逃れました。 残りの1億ドルは、攻撃者が作戦に資金を供給するために取ったフラッシュローンの手数料として、貸出プラットフォームに送られました。 ブロックチェーンのセキュリティとデータ分析の会社であるPeckshieldは、攻撃者がTornadoの現金を介してお金をロンダリングし、すべてのデジタルフットプリントを削除したことをTwitterで明らかにしました。
Peckshieldによって公開された攻撃者によって実行されたトランザクションの記録。
ソース: ペックフィールド
ソース: ペックフィールド
Peckshieldは、暗号ロビンフッドになるための大きな試みで、攻撃者はウクライナの暗号寄付にUSDコイン(USDC)で$ 250,000を寄付し、まだアカウントに15,154 ETHを保持していると発表しました。 分析会社は、Beanstalk Farmへの攻撃を開始するために必要な初期資金がSynapse Protocolから撤回されたことをたどった。 その後、作戦が完了すると、利益はトルネードキャッシュ(ミストトラックによると約25,000 ETH)に預けられ、攻撃者は追跡不能になりました。
Beanstalkの作成者は、攻撃に関与していないことを証明するために、Discordサーバーで身元を開示しました。 彼らは犯人を特定していないことを認めたが、サイロに預けられたすべての資産を失い、それはかなりの金額だったと述べた。
なぜ豆の茎の農場が搾取されるのでしょうか?
Beanstalkのスマートコントラクトセキュリティ監査人であるOmnisciaは、公式レポートで、攻撃で悪用されたコードはシステムを監査した後に導入されたため、監査しなかったと述べた。 これは、Beanstalk Farms が Omniscia がシステムのセキュリティを監査して承認した後、新しいコードを導入したことを意味します。 最新の追加により、攻撃者はプロトコルによって導入された保護されていないコードに行動する余地を得ました。 攻撃者は Beanstalk が導入した新しいコードを認識していた可能性があります。 導入されたコードには、利害関係者が提案の平均ライフサイクルを回避し、主要な投票権を持っている場合にすぐに実行できるようにする「緊急コミット」機能が含まれています。
通常、Beanstalkプロトコルは、投票に利用された資金は、提案が投票された後、一定期間ロックされたままにすることを要求しました。 BIP ガバナンス メカニズムを介したプロトコルのアップグレードにより、攻撃者は提案を実行し、悪意のある更新の一部としてロックされた資金を取得することができました。
Beanstalk の投票システムでは、アクティブな BIP の前に投票を許可し、古い BIP に新しい投票を適用できるため、この攻撃はよく計画されたヒットのようです。 これを使用する攻撃者は、緊急コミット機能を満たすために事前に BIP-18 を送信しました。 BIP-18の時間しきい値に達すると、攻撃は運用が開始されました。
過去には、フラッシュローンは、同じ方法で$ 130mを失ったCream Financeのような他のプロトコルをハックするために使用されてきました。 しかし、この攻撃は、すべてのプロジェクトのガバナンスプロトコルとスマートコントラクトが設計どおりに機能していたため、ハッキングによって引き起こされたものではありませんでした。 攻撃者は、プロトコルの設計上の欠陥を悪用することを指摘しました。 攻撃後、エクスプロイターはBEANトークンをEthereumと交換し、コインをダンプしてBEANの価値を大幅に低下させました。
このようなイベントは、DeFiプロジェクトの世界で繰り返されるイベントのようです。 うまくいけば、将来のDeFiプロジェクトでは、監査人によってすべてのコードを実行し、そのような攻撃の可能性を減らすためにその後不正なコードを導入することを控えてください。
著者:Gate.io オブザーバー: M.オラトゥンジ
*この記事はオブザーバーの見解のみを表しており、投資提案を構成するものではありません。
*Gate.io は、この記事に対するすべての権利を留保します。 記事の再投稿は、参照されている限り許可さ Gate.io ます。 それ以外の場合、著作権侵害により法的措置が取られます。
ETH/USDT
-1.35%
BTC/USDT
+ 2.88%
運試しで箱を開いて $6666の報酬を獲得しよう
今すぐ登録
今すぐ20ポイント受け取ろう
新規ユーザー限定:2つのステップを完了してポイントを受け取ろう!
今すぐ受け取る
