BEANSTALK FARMS PERDE US$ 182M EM ATAQUE DE EMPRÉSTIMO FLASH

- Um protocolo de moeda estável baseado no Ethereum, Beanstalk Farms, foi atacado no domingo por um invasor não identificado.

- A Beanstalk opera empréstimos de criptoativos por meio de contratos inteligentes de finanças descentralizadas (DeFi), porque não exigem garantias para emprestar grandes somas em empréstimos instantâneos. Foi relatado que o invasor pegou empréstimos em flash (ultrarápidos) de algumas plataformas de empréstimos, como Aave, usando os fundos para adquirir uma grande porcentagem do token de governança do Beanstalk, o Stalk.

- O maior poder de votação permitiu que o culpado aprovasse protocolos de governança maliciosos necessários para desviar fundos para uma carteira privada. O invasor usou o dinheiro do Tornado para lavar o dinheiro e cobrir seus rastros digitais.

- A operação deixou as pessoas confusas, quando o atacante doou parte do dinheiro para os esforços de socorro ucranianos... Saiba mais lendo o artigo inteiro.

A Beanstalk Farm, um projeto DeFi baseado em Ethereum, em 17 de abril de 2022, sofreu uma perda inovadora de US$ 182 milhões em um ataque de empréstimo instantâneo, que foi realizado por um culpado desconhecido. O Beanstalk é um protocolo de stablecoin (uma criptomoeda atrelada a uma moeda fiduciária) baseado em crédito executado na blockchain da Ethereum. A moeda nativa do projeto, BEAN, caiu 86%, quando comparada ao valor de US$ 1 após o ataque.

Um ataque que foi possibilitado por duas propostas de governança prejudiciais [BIP-18 e BIP-19] foi lançado pelo atacante no sábado, quando o personagem pediu à Beanstalk Farms que doasse fundos para a Ucrânia. A proposta, que tinha um piloto malicioso anexado a ela, possibilitou desviar os fundos para uma carteira ETH privada. O invasor pegou empréstimos em flash de outras plataformas de empréstimos, como Aave, USDC e Tether, para financiar a operação adquirindo 67% dos tokens de governança da Beanstalk Farms "stalk tokens" e votando seus BIPs (proposta de melhoria Beanstalk) em aprovação.

A operação resultou em uma perda de US$ 182 milhões, e o atacante escapou com US$ 80 milhões. O restante de US$ 100 milhões foi para as plataformas de empréstimo como taxas para os empréstimos ultrarápidos, que o invasor tomou para financiar a operação. A Peckshield, uma empresa de segurança e análise de dados de blockchain, divulgou no Twitter que o invasor lavou o dinheiro com Tornado, excluindo todas as pegadas digitais.

Registros de transações realizadas pelo invasor. Foram divulgados pela Peckshield.

Fonte: Peckfield.

A Peckshield anunciou que, em uma grande tentativa de ser um Robinhood dos criptoativos, o invasor doou US$ 250.000 em moeda USD (USDC) para a Doação de Criptoativos da Ucrânia e ainda detém 15.154 ETH em uma conta. A empresa de análise rastreou que os fundos iniciais necessários para lançar o ataque ao Beanstalk Farm foram retirados do Synapse Protocol. Depois disso, quando a operação foi concluída, os ganhos foram depositados no Tornado Cash (cerca de 25.000 ETH de acordo com a pista Mist), tornando o invasor indetectável.

Os criadores do Beanstalk divulgaram sua identidade em seu servidor discord para provar que não estavam envolvidos no ataque. Admitiram que não identificaram o culpado, embora tenham perdido todos os seus bens depositados no Silo, dizendo que era uma quantia substancial.

POR QUE AS FAZENDAS BEANSTALK (DE FEIJÃO) PODEM SER EXPLORADAS?

O Omniscia, auditor de segurança de contratos inteligentes da Beanstalk, disse em um relatório oficial, que eles não auditaram o código explorado no ataque, porque esse código foi introduzido depois que fizeram a auditoria do sistema. Isso significa que a Beanstalk Farms introduziu um novo código, mas depois que a Omniscia auditou e aprovou a segurança do sistema. A última adição deu margem ao invasor para agir no código desprotegido, que foi introduzido pelo protocolo. É possível que o invasor estivesse ciente do novo código que o Beanstalk havia introduzido. Os códigos introduzidos contêm uma função de “confirmação de emergência”. Ela permite aos Stakeholders contornar o ciclo de vida médio de uma proposta e executá-la imediatamente, se tiverem grande poder de voto.

Normalmente, o protocolo Beanstalk exigia que os fundos utilizados para votação permanecessem bloqueados por um período de tempo, após a votação da proposta. A atualização do protocolo, usando o mecanismo de governança BIP, permitiu que o invasor executasse sua proposta e recuperasse seus fundos bloqueados como parte da atualização maliciosa.

O ataque parece ser um sucesso bem planejado, porque o sistema de votação Beanstalk permite que os votos sejam lançados antes de qualquer BIP ativo, permitindo que novos votos sejam aplicados a BIPs mais antigos. O invasor usando isso enviou seu BIP-18 com antecedência, porque queria satisfazer a função de confirmação de emergência. Uma vez que o limite de tempo para o BIP-18 foi atingido, o ataque foi colocado em operação.

No passado, os empréstimos flash foram usados para hackear outros protocolos, como o Cream Finance, que perdeu US$ 130 milhões da mesma maneira. Entretanto, esse ataque não foi causado por um hack, porque todos os protocolos de governança de projetos e contratos inteligentes funcionaram como foram projetados. O invasor fez questão de explorar as falhas no design do protocolo. Após o ataque, o explorador trocou os tokens BEAN por Ethereum e descartou as moedas, causando uma queda maciça no valor do BEAN.

Eventos assim parecem ser recorrentes no mundo dos projetos DeFi. Felizmente, no futuro, os projetos DeFi garantirão a execução de todos os códigos por seus auditores e evitarão a introdução de códigos não autorizados posteriormente, porque reduzirão as chances de tais ataques.

Autor: Gate.io. Observador: M. Olatunji. Tradução em PT-BR: João G.

*Aviso legal: este artigo representa apenas as opiniões dos autores, observadores ou pesquisadores e não constitui qualquer sugestão de investimento. A Gate.io reserva todos os direitos sobre este artigo. A republicação do artigo será permitida, desde que a Gate.io seja devidamente citada. Em todos os outros casos, as medidas legais serão tomadas por violação de direitos autorais.