El protocolo de moneda estable basado en crédito Beanstalk Farms perdió toda su garantía de $ 182 millones debido a una brecha de seguridad causada por dos propuestas de gobernanza siniestras y un ataque de préstamo rápido.
El problema del protocolo fue sembrado por las sospechosas propuestas de gobernanza BIP-18 y BIP-19 emitidas el 16 de abril por el explotador que solicitó el protocolo para donar fondos a Ucrania. Sin embargo, esas propuestas tenían un anexo malicioso adjunto que finalmente creó el sumidero de fondos del protocolo según el auditor de contratos inteligentes. bloquesec.
Esta última violación de seguridad de un protocolo de finanzas descentralizadas (DeFi) tuvo lugar a las 12:24 p. m. UTC. En ese momento, el explotador obtuvo $ 1 mil millones en préstamos rápidos del protocolo AAVE (AAVE) denominados en monedas estables DAI (DAI), USD Coin (USDC) y Tether (USDT). Utilizaron estos fondos para acumular suficientes activos para hacerse cargo del 67% de la gobernanza del protocolo y aprobar sus propias propuestas.
Estamos dedicando todos los esfuerzos para tratar de avanzar. Como proyecto descentralizado, estamos pidiendo a la comunidad DeFi y a los expertos en análisis de cadenas que nos ayuden a limitar la capacidad del explotador para retirar fondos a través de CEX. Si el explotador está abierto a una discusión, nosotros también lo estamos. https://t.co/fwceVz6hbi
– Granjas Beanstalk (@BeanstalkFarms) 17 de abril de 2022
Un préstamo flash debe ejecutarse y pagarse dentro de un solo bloque y, por lo general, requiere varios contratos inteligentes a la vez para completarse. Los préstamos flash se han utilizado en el pasado para realizar ataques o vulnerabilidades de seguridad de otros protocolos. Beanstalk Farms es una plataforma algorítmica descentralizada de emisión de monedas estables en Ethereum.
Este caso técnicamente no fue un truco, ya que los contratos inteligentes y los procedimientos de gobierno funcionaron según lo diseñado. Se explotaron fallas en su diseño, lo que el portavoz del proyecto, “Publius”, reconoció en una reunión el 18 de abril cuando dijo:
“Es desafortunado que el mismo procedimiento de gobierno que puso a beanstalk en una posición para tener éxito fuera finalmente su ruina”.
La firma de análisis de seguridad de blockchain PeckShield notificó al equipo de Beanstalk a través de Gorjeo a las 12:41 p. m. UTC del 17 de abril que podría haber un problema con la ominosa declaración: “Hola, @beanstalkFarms, es posible que desee echar un vistazo”.
Nuestro análisis inicial muestra la @BeanstalkFarms ¡la pérdida es de ~$182 millones! Este es el desglose de los activos robados: 79 238 241 BEAN3CRV-f, 1 637 956 BEANLUSD-f, 36 084 584 BEAN y 0,54 UNI-V2_WETH_BEAN. https://t.co/8OzPn8F8ot
— PeckShield Inc. (@peckshield) 17 de abril de 2022
En ese momento, ya era demasiado tarde. El explotador ya se había hecho con aproximadamente $ 80 millones en Ether (ETH) y Beans (BEAN), mientras que todo el protocolo perdió sus $ 182 millones en valor total bloqueado (TVL) según PeckShield. BEAN actualmente ha bajado un 83% cotizando a $0,17 según CoinGecko, pero bajó a $0,06 cuando el explotador descartó sus tokens.
El explotador cambió BEAN por ETH y luego envió las monedas a Tornado Cash para cubrir sus huellas digitales. Sin embargo, también enviaron 250,000 USDC a la billetera de Ucrania Crypto Donation.
A las 11:49 p. m. UTC del 17 de abril, Publius escribió que es probable que el proyecto se pierda ya que no hay respaldo de capital de riesgo para recuperar las pérdidas, y agregó: “Estamos jodidos”.
En una reunión de equipo y comunidad en el canal Beanstalk Discord el 18 de abril, Publius criticó a las tres personas que desarrollaron el proyecto. Ellos son Benjamin Weintraub, Brendan Sanderson y Michael Montoya, quienes asistieron juntos a la Universidad de Chicago y concibieron Beanstalk Farms.
Montoya dijo que el equipo se había comunicado con el Centro del Crimen de la Oficina Federal de Investigaciones (FBI) y que “cooperaría plenamente con ellos para rastrear a los perpetradores y recuperar los fondos”.
Los contratos inteligentes del protocolo se han pausado y el equipo ha revocado todos los privilegios de gobierno.
Relacionada: El grupo Lazarus de Corea del Norte supuestamente está detrás del hackeo del puente Ronin
El equipo no respondió cuando Cointelegraph preguntó si creen que el FBI tiene algún recurso legal para ayudarlos, pero Publius cree que definitivamente se trata de un robo que debe investigarse.
La comunidad de Beanstalk ha apoyado principalmente al equipo en los momentos difíciles a pesar de sus tremendas pérdidas personales. Sin embargo, el miembro de la comunidad “Astrabean” cree que el equipo debería asumir más responsabilidad por el ataque en lugar de aceptar lo que sucedió como un error honesto del que el proyecto debe avanzar. Afirmó que “hubiera querido que ustedes, como líderes, asumieran la responsabilidad por lo que sucedió”.
El miembro de la comunidad “CharlieP” se hizo eco de esas preocupaciones sobre la confianza en el protocolo. Le preguntó al equipo: “¿Están diciendo que no tienen responsabilidad en este esfuerzo? Si ese es el caso, ¿quiénes somos para confiar en que esto no volverá a suceder?
Publius respondió que el proyecto es solo un experimento de código fuente abierto, no un negocio, y que ni él ni el equipo deberían rendir cuentas por lo sucedido. añadió,
“Cuando nos pides que asumamos la responsabilidad, es realmente inapropiado”.