Proyecto Beanstalk DeFi despojado de $ 182 millones en un ataque de préstamo rápido

El proyecto de finanzas descentralizadas (DeFi) Beanstalk ha perdido $ 182 millones en un ataque de préstamo rápido. Puede parecer más un atraco corporativo que un ciberataque típico. Aún así, este incidente de seguridad fue posible después de que el actor de amenazas desconocido aseguró los derechos de voto del proyecto necesarios para transferir los fondos de reserva fuera de los fondos de liquidez del proyecto.
El 19 de abril, Beanstalk, un proyecto de protocolo de moneda estable basado en crédito basado en Ethereum, dijo que la plataforma había sido objeto de un ataque de préstamo rápido dos días antes. El ciberataque aprovechó el mecanismo de gobernanza del protocolo del proyecto. Según una autopsia realizada por Omniscia, el exploit se produjo debido a la reciente implementación de Curve LP Silos, "lo que finalmente permitió al atacante realizar una ejecución de emergencia de una propuesta maliciosa que desviaba los fondos del proyecto". Las funciones de préstamo flash en los proyectos DeFi permiten a los usuarios pedir prestados grandes cantidades de fondos virtuales por un corto período de tiempo. En el caso de Beanstalk Farm, los poderes de voto se basaron en la cantidad de fichas que se tenían. Omniscia dice que después de que el atacante obtuviera un préstamo rápido y, por lo tanto, amplios derechos de voto que normalmente se usaban para aceptar o rechazar cambios en el código del protocolo, se abusó de un mecanismo de gobierno de emergencia para "votar" por una propuesta maliciosa y permitirse enviar fondos a una billetera que controlaban.
Luego se reembolsó el préstamo flash. Según PeckShield, quien fue el primero en detectar el ataque, las pérdidas totales alcanzaron los $182 millones, y el atacante pudo embolsarse aproximadamente $80 millones. Otras pérdidas se debieron a las tarifas requeridas para ejecutar el préstamo flash.
Los activos robados luego se liquidaron en Ethereum (ETH). Beanstalk dice que aproximadamente $ 76 millones en activos que no son de Beanstalk fueron robados de los fondos de liquidez. Beanstalk se detuvo tras el descubrimiento del ataque, pero esto no fue suficiente para evitar el robo o recuperar los fondos robados.
Los BEAN restantes en el contrato de explotación se han quemado. En un tuit, Beanstalk le ofreció al atacante el 10 % de los fondos robados como recompensa por errores si devolvía el 90 %. En particular, el ladrón también parece haber enviado USD 250 000 al fondo de ayuda ucraniano Ucrania Crypto Donation.
"Beanstalk Farms, el equipo de desarrollo descentralizado que trabaja en Beanstalk, está preparando una estrategia para relanzar de manera segura un Beanstalk más seguro con un camino a seguir", dice el proyecto. Hay varios objetivos en la hoja de ruta: atraer inversiones para reiniciar Beanstalk; preservar "la mayor cantidad posible de las posiciones de Stalk, Seed y Pod de cada agricultor" y "alinear el nuevo capital con los titulares anteriores de Stalk y Pod". "Esta asombrosa cantidad de dinero robado no solo afectará financieramente, sino que potencialmente también socavará la confianza", comentó Jake Moore, asesor de seguridad cibernética global de ESET.
a las recompensas extremadamente altas mientras que a menudo no deja remanencia de evidencia alguna". ¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o en Keybase: charlie0.