Allinstation Beanstalk Farms, một giao thức stablecoin trên Ethereum đã bị tấn công là khai thác 182 triệu USD vào Chủ nhật vừa qua.
Đơn vị bảo mật Blockchain PeckShield đã đưa tin trên Twitter rằng nền tảng stablecoin Beanstalk Farms (BEAN) đã bị tấn công, hacker đã rút về ít nhất 80 triệu USD bao gồm 24,830 ETH trị giá gần 76 triệu USD và 36 triệu stablecoin BEAN, trị giá 3.6 triệu USD. Thiệt hại mà giao thức này phải hứng chịu có thể còn lớn hơn nữa khi quy mô của vụ việc chưa được thống kê đầy đủ.
2/ The hack is made possible due to the flashloan-assisted (immediate) pass of BIP18, which was submitted one day ago (https://t.co/4TocPkMna0). The BIP18 leads to the crafted code execution with the governance privilege to drain the pool fund. pic.twitter.com/qLYk7jhTCG
— PeckShield Inc. (@peckshield) April 17, 2022
Giá trị đồng stablecoin BEAN của Beanstalk đã sụp đổ sau tấn công. Vào thời điểm viết bài, token BEAN đã giảm 86% so với mức neo cố định 1 USD ban đầu theo CoinGecko.
Theo một bản tóm tắt trên Discord chính thức của Beanstalk, các hacker đã thực hiện cuộc tấn công flash loan vào nền tảng này. Cơ chế flash loan cho phép người dùng vay và trả khoản vay tiền điện tử của mình trong một giao dịch duy nhất, giúp giảm thiểu rủi ro cho người vay và có thể hợp lý hoá quy trình cho người vay, tuy nhiên cơ chế này đã được rất nhiều hacker tận dụng để khai thác những lỗ hổng về bảo mật và logic trong các smart contract của các nền tảng DeFi.
Cụ thể hơn trong trường hợp của Beanstalk, các hacker đã thực hiện flash loan trên nền tảng cho vay Aave để tích lũy một lượng lớn token quản trị gốc của Beanstalk là Stalk. Thông qua quyền biểu quyết vượt trội do nắm giữ lượng lớn token Stalk, kẻ tấn công đã có thể nhanh chóng thông qua một đề xuất quản trị để rút toàn bộ quỹ của giao thức về một ví Ethereum riêng, sau đó thông qua nền tảng Tornado Cash để rửa khoản tiền bị đánh cắp này.
2/5
The main protocol contract has been completely emptied.
User funds have been withdrawn:
– 36M BEAN ($36M)
– 0.54 ETH-BEAN UNI-v2 LP tokens ($33M in ETH and $32M in BEAN)
– 79.2M BEAN3CRV-f Curve LP tokens ($79.2M?)
– 1.6M BEAN-LUSD Curve LP tokens ($1.6M?) pic.twitter.com/mdnr9rCDbm— Igor Igamberdiev (@FrankResearcher) April 17, 2022
Các hacker có vẻ rất “nhân đạo” khi chuyển 250,000 USDC từ lượng tài sản đánh cắp được đến địa chỉ quyên góp của chính quyền Ukraine.
#PeckShieldAlert ~250k $USDC (~$250k) into @Ukraine Crypto Donation from @BeanstalkFarms exploiters https://t.co/9jwMfeZpQ4 pic.twitter.com/3gg2Xda5Cm
— PeckShieldAlert (@PeckShieldAlert) April 17, 2022
Các hợp đồng thông minh của Beanstalk đã được kiểm toán bởi công ty bảo mật Blockchain Omnicia. Tuy nhiên, việc kiểm toán này đã được thực hiện trước khi xuất hiện lỗ hổng flash loan trên nền tảng. Đáng chú ý là, Beanstalk mới thực hiện đề xuất BIP18 nhằm tích hợp tính năng flash loan vào nền tảng của họ vào hôm 16 tháng 4. Beanstalk từ chối cung cấp thông tin chi tiết liệu lượng tiền bị đánh cắp này có được hoàn trả cho người dùng và sẽ có những thông báo sớm cho người dùng khi vụ việc có thêm tiến triển.
Trong tháng vừa qua đã có đến 3 dự án DeFi bị hacker tấn công theo phương thức flash loan, làm thất thoát số tiền hơn 14 triệu USD. Song, vụ tấn công flash loan “kinh hoàng” nhất trong lịch sử là của giao thức Cream Finance vào tháng 10 năm ngoái với thiệt hại 130 triệu USD.
Đọc thêm: