Beanstalk Farms bị exploit 182 triệu đô la

Giao thức stablecoin dựa trên tín dụng Beanstalk Farms đã mất toàn bộ tài sản thế chấp trị giá 182 triệu đô do một cuộc tấn công vào governance proposals và flash loan.

Vấn đề đối với giao thức bắt nguồn từ các đề xuất quản trị đáng ngờ BIP-18 và BIP-19 được phát hành vào ngày 16 tháng 4 bởi người khai thác (exploiter) yêu cầu giao thức quyên góp tiền cho Ukraine. Tuy nhiên, những đề xuất đó có chứa một mã độc hại gắn liền với chúng, điều này cuối cùng đã tạo ra lỗ hổng từ giao thức theo công ty kiểm toán smart contract BlockSec.

Sự vi phạm bảo mật mới nhất này đối với giao thức tài chính phi tập trung (DeFi) diễn ra lúc 12:24 chiều giờ UTC. Vào thời điểm đó, kẻ khai thác đã vay nhanh 1 tỷ đô la từ giao thức AAVE (AAVE) có giá trị bằng DAI (DAI), USD Coin (USDC) và Tether (USDT). Họ đã sử dụng những khoản tiền này để tích lũy đủ tài sản để tiếp quản 67% quyền quản lý của giao thức và phê duyệt các đề xuất của riêng họ.

We’re engaging all efforts to try to move forward. As a decentralized project, we are asking the DeFi community and experts in chain analytics to help us limit the exploiter's ability to withdraw funds via CEXes. If the exploiter is open to a discussion, we are as well. https://t.co/fwceVz6hbi
— Beanstalk Farms (@BeanstalkFarms) April 17, 2022

Một khoản vay (flash loan) nhanh phải được thực hiện và hoàn trả trong một block duy nhất và thường yêu cầu một số hợp đồng thông minh cùng một lúc để hoàn thành. Trước đây, các flash loan đã được sử dụng để thực hiện các cuộc tấn công hoặc exploit của các giao thức khác. Beanstalk Farms là một nền tảng phát hành stablecoin theo thuật toán phi tập trung trên Ethereum.

Về mặt kỹ thuật, trường hợp này không phải là một vụ hack vì các hợp đồng thông minh và quy trình quản trị (gorvenance) vẫn hoạt động như mục đích ban đầu nó được thiết kế. Flaws trong thiết kế của họ đã bị exploit người phát ngôn của dự án “Publius” đã thừa nhận trong một cuộc họp vào ngày 18 tháng 4:

“Thật không may là cùng một quy trình quản trị (governance procedure) đã đưa Beantalk vào vị trí thành công nhưng cuối cùng lại sụp đổ”.

Công ty phân tích bảo mật blockchain PeckShield đã thông báo cho đội ngũ Beanstalk qua Twitter vào lúc 12:41 chiều UTC vào ngày 17 tháng 4 với tuyên bố đáng ngại: “Xin chào, @beanstalkFarms, bạn có thể muốn xem xét”.

Our initial analysis shows the @BeanstalkFarms loss is ~$182m ! Here is the breakdown of stolen assets: 79,238,241 BEAN3CRV-f, 1,637,956 BEANLUSD-f, 36,084,584 BEAN, and 0.54 UNI-V2_WETH_BEAN. https://t.co/8OzPn8F8ot
— PeckShield Inc. (@peckshield) April 17, 2022

Lúc đó, đã quá muộn. Kẻ khai thác đã kiếm được khoảng 80 triệu đô la Ether (ETH) và Beans (BEAN) trong khi toàn bộ giao thức mất tổng giá trị 182 triệu đô la bị khóa (TVL) theo PeckShield. BEAN hiện đang giảm khoảng 83% khi giao dịch ở mức 0,17 đô la theo CoinGecko nhưng đã chạm mức 0,06 đô la khi kẻ khai thác bán phá giá token của họ.

Kẻ khai thác đã đổi BEAN lấy ETH và sau đó gửi tiền tới Tornado Cash để che đậy hành vi của mình. Tuy nhiên, chúng cũng đã gửi 250.000 USDC đến ví Ukraine Crypto Donation.

Vào lúc 11:49 tối theo giờ UTC vào ngày 17 tháng 4, Publius viết rằng dự án có khả năng bị thua lỗ vì không có vốn đầu tư mạo hiểm hỗ trợ để bù đắp các khoản lỗ

Trong một cuộc họp nhóm và cộng đồng trên kênh Beanstalk Discord vào ngày 18 tháng 4, Publius đã công khai thông tin ba cá nhân đã phát triển dự án. Họ là Benjamin Weintraub, Brendan Sanderson và Michael Montoya, tất cả đều đã cùng học tại Đại học Chicago và là founder của Beanstalk Farm.

Montoya nói rằng đội ngũ đã liên hệ với Trung tâm Tội phạm của Cục Điều tra Liên bang (FBI) và sẽ “hợp tác đầy đủ với họ để truy tìm thủ phạm và thu hồi tiền.”

Các hợp đồng thông minh của giao thức đã bị tạm dừng và tất cả các đặc quyền quản trị đã bị thu hồi.

Đội ngũ nghiên cứu đã không trả lời khi Cointelegraph hỏi liệu họ có tin rằng FBI có bất kỳ biện pháp pháp lý nào để giúp họ hay không, nhưng Publius tin rằng đây chắc chắn là một vụ cần được điều tra.

Cộng đồng của Beanstalk vẫn ủng hộ đội ngũ trong thời gian khó khăn vừa qua mặc dù chính họ cũng đã chịu những tổn thất nặng nề. Tuy nhiên, một thành viên cộng đồng “Astrabean” tin rằng đội ngũ nên chịu trách nhiệm nhiều hơn về cuộc tấn công thay vì chấp nhận những gì đã xảy ra như một sai lầm.

“Tôi muốn các bạn với tư cách là nhà lãnh đạo phải chịu trách nhiệm về những gì đã xảy ra.”

Thành viên cộng đồng “CharlieP” lặp lại những lo ngại đó về sự tin tưởng vào giao thức.

“Bạn đang nói rằng bạn không có trách nhiệm với nỗ lực này? Nếu đúng như vậy, chúng tôi phải tìm ai để tin tưởng rằng điều này sẽ không xảy ra nữa?”

Publius trả lời rằng dự án chỉ là một thử nghiệm mã nguồn mở, không phải là một công việc kinh doanh và cả anh và đội ngũ đều không phải chịu trách nhiệm về những gì đã xảy ra. Anh ấy nói thêm

“Khi bạn yêu cầu chúng tôi chịu trách nhiệm, điều đó thực sự không phù hợp.”

Theo: cointelegraph