financial

โปรโตคอล Algo Stablecoin ถูกลดจำนวนลงโดย Governance Hijack

‘เงินกู้แฟลช’ ยักษ์มูลค่ากว่า 1 พันล้านดอลลาร์ใน Stablecoins เกิดขึ้นจากการทดลอง Beanstalk DeFi

ผู้โจมตีใช้อีเธอร์ 24,830 และโทเค็น BEAN 36 ล้านโทเค็นมูลค่าประมาณ 180 ล้านดอลลาร์ ผู้โจมตีใช้ช่องโหว่ในกระบวนการกำกับดูแลของโปรโตคอลเพื่อผลักดัน “ข้อเสนอการปรับปรุง” ที่เป็นอันตราย Beanstalk Farms ซึ่งถูกเรียกว่า “โปรโตคอล Stablecoin เครดิตแบบกระจายศูนย์” ถูกใช้ประโยชน์ในวันอาทิตย์เนื่องจากการสูญเสียกระดาษประมาณ 180 ล้านดอลลาร์ ซึ่งเป็นการแฮ็ก DeFi ล่าสุดของปี

นั่นตอกย้ำว่าเป็นโปรโตคอลที่ใหญ่เป็นอันดับห้าที่ใช้ประโยชน์จากไซต์ติดตาม Rekt Leaderboard และใหญ่เป็นอันดับสองในปีนี้หลังจากแฮ็ค Ronin Bridge ครั้งใหญ่ ในเดือนมีนาคม บริษัทรักษาความปลอดภัย PeckShield ได้รายงานข่าวดังกล่าว เป็นครั้งแรก เช่นเดียวกับการใช้ประโยชน์จาก Ronin กองทุนที่ถูกขโมยส่วนใหญ่ประกอบด้วยอีเธอร์ ซึ่งผู้โจมตีเริ่มช่องทางเข้าสู่โปรโตคอลความเป็นส่วนตัวTornado Cash อย่างรวดเร็ว เพื่อพยายามปิดบังที่มาของโทเค็น

กลุ่มยืนยันการใช้ประโยชน์ใน Twitter เมื่อวันอาทิตย์และขณะนี้กำลังพิจารณาเส้นทางข้างหน้า เมื่อเร็ว ๆ นี้ Beanstalk ได้ฉลองความสำเร็จครั้งสำคัญ โดยมีมูลค่าถึง 100 ล้านดอลลาร์ในโทเค็น BEAN ที่สร้างเสร็จ One BEAN ถูกกำหนดให้มีค่าเท่ากับ 1 ดอลลาร์สหรัฐ แต่ต่างจากเหรียญ stablecoin ที่ได้รับการสนับสนุนจาก fiat หรือ crypto collateral ตรงที่ Beanstalk ใช้ระบบสิ่งจูงใจทางการเงินแบบใหม่เพื่อรักษาการตรึงโดยใช้เครดิตมากกว่าการovercollateralization

โปรโตคอลได้รับการตรวจสอบจาก Omniscia ผู้เชี่ยวชาญด้านความปลอดภัยบล็อคเชน แต่บริษัทระบุในการวิเคราะห์หลังชันสูตรพลิกศพว่ารหัสการผลิตที่ได้รับความเดือดร้อนจากการใช้ประโยชน์นั้นแตกต่างจากที่บริษัทได้ตรวจสอบ

UFA Slot

นักพัฒนาโต้แย้งบัญชีนั้นระหว่างการประชุมศาลากลางในวันอาทิตย์ “เราไม่ได้อยู่ในธุรกิจของการชี้นิ้ว [แต่] เราได้ดูรายงานที่พวกเขาตีพิมพ์ และไม่รู้สึกว่ามันเป็นเรื่องจริงของสิ่งที่เกิดขึ้น” หัวหน้านักพัฒนากล่าว

Omniscia ชี้ไปที่ “ข้อบกพร่องในการกำกับดูแลที่อ่อนไหวต่อสินเชื่อแฟลช” ในฐานะผู้กระทำความผิด อนุญาตให้ผู้โจมตีเสนอและบังคับผ่านข้อเสนอการกำกับดูแลที่มุ่งร้าย ซึ่งดึงทรัพย์สินทั้งหมดของโปรโตคอลไปยังกระเป๋าเงินของผู้โจมตีอย่างมีประสิทธิภาพ

เคล็ดลับคือการใช้เงินกู้จำนวนมาก — ยืมเงินจำนวนมหาศาลที่ต้องชำระคืนภายในธุรกรรมเดียวกัน — และหลีกเลี่ยงวงจรชีวิตปกติของข้อเสนอการกำกับดูแล ด้วยเวทมนตร์ DeFi เล็กน้อยโดยใช้เงินกู้ที่ยืมมา 1.04 พันล้านดอลลาร์ ผู้โจมตีได้รับอำนาจการลงคะแนนเสียงของโปรโตคอลจำนวนมหาศาลในเวลาสั้น ๆ ซึ่งถูกสั่งให้รันโค้ดที่เป็นอันตรายทันที

Beanstalk Protocol รองรับการอัปเกรดโปรโตคอลผ่านกลไกการกำกับดูแล Beanstalk-Improvement-Proposal (BIP) และด้วยเหตุนี้ จึงเป็นไปได้ที่การอัพเกรดจะดำเนินการโค้ดโดยอำเภอใจ ซึ่งช่วยให้ผู้โจมตีสามารถดึงเงินที่ถูกล็อคไว้ซึ่งเป็นส่วนหนึ่งของการอัปเดตที่เป็นอันตราย Omniscia เขียน

ระยะเวลารอ 24 ชั่วโมงมีผลบังคับใช้ แต่ BIP ที่กระทำผิดถูกปลอมแปลงเป็นการประมูลเพื่อบริจาคเงินเพื่อสนับสนุนยูเครนและผ่านช่วงเวลาล่าช้าก่อนที่การลงคะแนนเสียงส่วนใหญ่จะมีผล

“เราคิดว่ามันแปลกมาก แต่เห็นได้ชัดว่าเราไม่รู้ว่าเกิดอะไรขึ้น การโจมตีใดกำลังดำเนินอยู่” นักพัฒนาอธิบายในระหว่างศาลากลาง

“เราจะทำทุกอย่างที่ทำได้เพื่อค้นหาว่าใครทำสิ่งนี้และนำพวกเขาไปสู่ความยุติธรรม”

หลังจากการใช้ประโยชน์ โทเค็น BEAN ของโปรโตคอลมีมูลค่าลดลงทันที 90% และสินทรัพย์อื่น ๆ ทั้งหมดอย่างมีประสิทธิภาพ รวมถึงที่ผู้โจมตีนำไปใช้ ถูกชำระบัญชี ส่งผลให้มีกำไรสุทธิประมาณ 75 ล้านดอลลาร์ในอีเธอร์และโทเค็นอื่นๆ

นี่ไม่ใช่ครั้งแรกที่สินเชื่อแฟลชถูกปรับใช้ในการใช้ประโยชน์จาก DeFi ปีที่แล้วCream Finance ถูกปล้นไป 130 ล้านเหรียญ นั่นทำให้ CREAM โทเค็นการกำกับดูแลลดลง 70% ซึ่งไม่เคยฟื้นตัว

ไม่เหมือนกับการแฮ็กที่มีมูลค่าสูงอื่นๆ เช่น การใช้ประโยชน์จากสะพาน Solana Wormholeนั้น Beanstalk ไม่มีเงินทุนสนับสนุนที่อาจให้เงินช่วยเหลือเพื่อเพิ่มทุนให้กับระบบ

ทีม Beanstalk ไม่ได้ส่งคืนคำขอความคิดเห็นทันทีในวันจันทร์

ใน บล็อกโพสต์ติดตามผลเมื่อวันอังคาร ทีมงาน Beanstalk Farms ระบุ “เป้าหมายหลัก” สี่ประการสำหรับโครงการ: “การรักษาความสำเร็จที่ยั่งยืนของแบบจำลองทางเศรษฐกิจของ Beanstalk; ดึงดูดเงินทุนเพียงพอที่จะเริ่มต้นใหม่ Beanstalk; รักษาตำแหน่งก้าน เมล็ด และฝักของเกษตรกรแต่ละคนให้มากที่สุดเท่าที่จะทำได้ และ; ปรับทุนใหม่กับผู้ถือ Stalk และ Pod ก่อนหน้านี้”

เรื่องนี้ได้รับการอัปเดตเมื่อวันที่ 19 เมษายน และ 5:00 น. ET


อ่านบทความข่าวสารอื่น ๆ เพิ่มเติมได้ที่ clientelplus.com อัพเดตทุกสัปดาห์

UFA Slot

Releated