• 平台通知 交易行情
      查看更多
    • 語言&匯率
    • 偏好設定
      漲跌顏色
      漲跌幅起始時間
    Web3 交易所
    Gate博客

    加密貨幣新聞、熱點&行業洞察

    Gate.io 博客 Beanstalk Farmsyin闪电贷遭恶意攻击,损失额高达1.82亿美元

    Beanstalk Farmsyin闪电贷遭恶意攻击,损失额高达1.82亿美元

    05月09日 18:52


    基于以太坊的稳定币协议Beanstalk Farms周日遭到一名身份不明的攻击者攻击。

    Beanstalk通过去中心化金融(DeFi)智能合约运营加密贷款,这些合约不需要抵押品就可以以闪电贷的形式发放巨额贷款。据报道,攻击者从Aave等贷款平台获得了闪电贷,利用这些资金收购了大量Beanstalk治理代币Stalk。

    之后,攻击者将这一大笔代币转移到一个隐密钱包中。攻击者利用Tornado Cash进行洗钱,并掩盖其网上踪迹。

    但是,当人们得知攻击者将部分资金捐赠给乌克兰救援工作时,对这次攻击背后真正意图又有些困惑……请在文章正文中了解更多精彩信息。


    2022年4月17日,位于以太坊(Ethereum)的DeFi项目Beanstalk Farm闪电贷遭不明身份的攻击者恶意攻击,损失额高达1.82亿美元。Beanstalk是在以太坊区块链上运行的基于信用的稳定币(与法定货币挂钩的加密货币)协议。该攻击者攻击发生后,该项目的原生货币BEAN从1美元的固定汇率下跌了86%。

    周六,因两项治理协议[BIP-18和BIP-19]有所纰漏,导致遭受恶意攻击,之后,攻击者要求Beanstalk Farms向乌克兰进行捐款。由于其中一项协议附有恶意附加条款,使资金有可能被挪用到一个私人钱包中。攻击者从Aave、USDC和Tether等其他贷款平台获得闪电贷,通过收购67%的Beanstalk Farms治理代币“stalk代币”,并投票批准他们被窃听的BIP(Beanstalk改进协议),从而为本次攻击行动提供了非法资金。

    这次攻击行动造成Beanstalk Farms损失1.82亿美元,袭击者侥幸窃走8000万美元。剩余的1亿美元被用于贷款平台,作为攻击者为这项行动提供资金的闪电贷的费用。区块链安全和数据分析公司Peckshield在Twitter上披露,攻击者通过Tornado Cash进行洗钱,删除了其所有网络踪迹。

    Peckshield发布的攻击者进行的交易记录。
    图源: Peckfield

    Peckshield宣布,为了成为加密世界的绿林怪盗,攻击者向乌克兰捐赠了25万美元的USD代币(USDC),并在一个账户中持有15154 ETH。这家分析公司追踪到,发起对Beanstalk Farm的攻击所需的初始资金已从Synapse协议中撤回。之后,整个攻击行动结束后,非法所得被存入Tornado Cash(根据Mist track数据显示,约25000ETH),使攻击者行迹无法被追踪。

    Beanstalk的创建者在他们的discord服务器上披露了他们的身份,以证明他们没有参与攻击。他们承认,虽他们不知道不法之徒的真正身份,但他们确实丢失了一大笔极资金和资产。


    为什么Beanstalk Farm会被攻击?


    Beanstalk的智能合约安全审计员Omniscia在一份官方报告中表示,他们没有审计攻击中被利用的代码,因为这些代码是在他们审计系统后引入的。这意味着Beanstalk Farms在Omniscia审核并批准系统安全性后引入了一个新代码。由于引入了新代码,其保护机制的完善度相对还需改善,此时便给了不法分子可趁之机。攻击者很有可能知道Beanstalk引入的新代码。引入的代码包含“紧急提交”功能,允许利益相关者绕过协议的平均生命周期,并在拥有重大投票权的情况下立即执行协议相关计划。

    通常,Beanstalk协议要求用于投票的资金在协议投票后的一段时间内保持锁定。通过BIP治理机制进行的协议升级允许攻击者执行其提案,并作为恶意更新的一部分检索他们锁定的资金。

    这次攻击似乎是一次精心策划、有预谋的袭击,因为Beanstalk投票系统允许在任何活动的BIP之前进行投票,新的投票可以应用于旧的BIP。使用此功能的攻击者提前提交了BIP-18,以满足紧急提交功能。一旦他们的BIP-18达到时间阈值,攻击一触即发。

    过去,闪电贷曾被用来攻击其他协议,比如Cream Finance,后者以同样的方式损失了1.3亿美元。但这次攻击并不是由黑客造成的,因为所有项目治理协议和智能合约都按照设计的方式运行。攻击者是利用了协议设计中的缺陷和漏洞,才导致了本次攻击事件。该袭击发生后,攻击者将这些BEAN代币兑换成以太币,并海量抛售BEAN代币,导致BEAN代币价值大幅下降。


    结语


    这类恶意攻击事件对于DeFi项目领域来说似乎司空见惯,习以为常。希望在未来,DeFi项目能确保其审计员审查所有代码运行情况,并避免在此后引入未经核查的代码,以减少此类攻击发生的可能性。


    作者:Gate.io研究员 M. Olatunji 译者: Joy Z.
    *本文仅代表研究员观点,不构成任何交易建议。
    *本文内容为原创,版权为Gate.io所有,如需转载请注明作者和出处,否则将追究法律责任。
    ETH/USDT + 8.79%
    BTC/USDT + 1.66%
    解鎖盲盒最高獲$6666獎勵
    立即註冊
    即刻領取20點卡
    新人專享,僅需2步馬上獲得點卡

    🔑 註冊帳戶

    👨‍💼 24小時內進行身份認證

    🎁 獲得點卡獎勵

    馬上領取
    語言及地區
    匯率

    選擇語言及地區

    前往土耳其站點?
    土耳其站已上線
    可點擊前往TR分站,或是繼續留在國際站