Beanstalk Farms kehilangan $182 juta dalam eksploitasi tata kelola DeFi

Protokol stablecoin berbasis kredit Beanstalk Farms kehilangan semua jaminannya senilai $182 juta dari pelanggaran keamanan yang disebabkan oleh dua proposal tata kelola yang jahat dan serangan pinjaman kilat.

Masalah untuk protokol itudiunggulkan oleh proposal tata kelola yang mencurigakan BIP-18 dan BIP-19, yang dikeluarkan pada hari Sabtu oleh pengeksploitasi, yang meminta protokol untuk menyumbangkan dana ke Ukraina. Namun, proposal tersebut memiliki pengendara jahat yang melekat pada mereka yang pada akhirnya menciptakan lubang dana dari protokol,menurut ke auditor kontrak pintar BlockSec.

Inipelanggaran keamanan terbaru dari keuangan terdesentralisasi (DeFi) berlangsung pada pukul 12:24 UTC. Pada saat itu, pengeksploitasi mengambil pinjaman kilat senilai $1 miliar dari Aave (HANTU ) protokol dalam denominasi DAI (AYO ), Koin USD (USDC ), dan tether (USDT ) stablecoin. Mereka menggunakan dana ini untuk mengumpulkan aset yang cukup untuk mengambil alih 67% tata kelola protokol danmenyetujui proposal mereka sendiri.

Kami melakukan semua upaya untuk mencoba bergerak maju. Sebagai proyek terdesentralisasi, kami meminta komunitas DeFi dan pakar analitik rantai untuk membantu kami membatasi kemampuan pengeksploitasi untuk menarik dana melalui CEX. Jika pengeksploitasi terbuka untuk diskusi, kami juga.https://t.co/fwceVz6hbi

— Peternakan Pohon Kacang (@Peternakan Kacang)17 April 2022

Harus flash loandieksekusi dan dilunasi dalam satu blok dan biasanya memanggil beberapa smart contract untuk diselesaikan sekaligus. Pinjaman flash telah digunakan di masa lalu untuk melakukanperetasan atau eksploitasi keamanan dari protokol lainnya. Beanstalk Farms adalah platform penerbitan stablecoin algoritmik terdesentralisasi di Ethereum.

Kasus ini secara teknis bukan peretasan karena kontrak pintar dan prosedur tata kelola berfungsi seperti yang dirancang. Cacat dalam desain mereka dieksploitasi, yang diakui oleh juru bicara proyek "Publius" dalam sebuah pertemuan pada hari Senin ketika dia mengatakan:

“Sangat disayangkan bahwa prosedur tata kelola yang sama yang menempatkan pohon kacang pada posisi untuk berhasil pada akhirnya adalah kehancurannya.”

Perusahaan analisis keamanan Blockchain PeckShielddiberitahu tim Pohon Kacang melalui Twitter pada pukul 12:41 UTC pada hari Minggu bahwa mungkin ada masalah dengan pernyataan yang tidak menyenangkan: "Hai, @beanstalkFarms, Anda mungkin ingin melihatnya."

Analisis awal kami menunjukkan@BeanstalkFarms kerugiannya ~$182 juta! Berikut rincian aset yang dicuri: 79.238.241 BEAN3CRV-f, 1.637.956 BEANLUSD-f, 36.084.584 BEAN, dan 0,54 UNI-V2_WETH_BEAN.https://t.co/8OzPn8F8ot

— PeckShield Inc. (@peckshield)17 April 2022

Pada saat itu, sudah terlambat. Pengeksploitasi telah menghasilkan sekitar $80 juta dalam bentuk Ether (ETH ) dan Beans (BEAN) sementara seluruh protokol kehilangan $182 juta total nilai terkunci (TVL),menurut ke PeckShield. BEAN saat ini turun sekitar 83% diperdagangkan pada $0,17,menurut keCoinGecko tetapi mencapai $0,06 ketika pengeksploitasi membuang token mereka.

Pengeksploitasi menukar BEAN dengan ETH dan kemudian mengirim koin ke Tornado Cash untuk menutupi jejak digital mereka. Namun, mereka juga mengirim 250.000 USDC ke dompet Donasi Kripto Ukraina.

Pada pukul 23:49 UTC pada 17 April, Publius menulis bahwa proyek tersebut kemungkinan besar akan hilang karena tidak ada modal ventura yang mendukung untuk menutup kerugian, menambahkan "Kami f**ked."

Dalam pertemuan tim dan komunitas di saluran Beanstalk Discord pada 18 April, Publius melakukan doxx terhadap tiga orang yang mengembangkan proyek tersebut. Mereka adalah Benjamin Weintraub, Brendan Sanderson, dan Michael Montoya, semuanya kuliah di University of Chicago bersama-sama dan menyusun Beanstalk Farms. 

Montoya mengatakan bahwa tim telah menghubungi Pusat Kejahatan Biro Investigasi Federal (FBI) dan akan "sepenuhnya bekerja sama dengan mereka untuk melacak pelaku dan memulihkan dana."

Kontrak pintar protokol telah dijeda dan semua hak istimewa tata kelola telah dicabut oleh tim.

Terkait:Grup Lazarus Korea Utara diduga berada di balik peretasan Ronin Bridge

Tim tidak menanggapi ketika Cointelegraph bertanya apakah mereka yakin FBI memiliki jalur hukum untuk membantu mereka, tetapi Publius yakin ini pasti pencurian yang harus diselidiki.

Komunitas Pohon Kacang sebagian besar mendukung tim di masa-masa sulit meskipun mereka mengalami kerugian pribadi yang luar biasa. Namun, anggota komunitas Astrabean percaya bahwa tim tersebut harus lebih bertanggung jawab atas serangan tersebut daripada menerima apa yang terjadi sebagai kesalahan jujur yang harus dilanjutkan oleh proyek. Dia menyatakan bahwa "Saya ingin Anda sebagai pemimpin bertanggung jawab atas apa yang terjadi."

Anggota komunitas CharlieP menggemakan kekhawatiran tentang kepercayaan pada protokol. Dia bertanya kepada tim, “Apakah Anda mengatakan Anda tidak bertanggung jawab atas upaya ini? Jika itu masalahnya, siapa yang bisa kita percayai bahwa ini tidak akan terjadi lagi?”

Publius menjawab bahwa proyek tersebut hanyalah eksperimen kode sumber terbuka, bukan bisnis dan baik dia maupun tim tidak boleh dimintai pertanggungjawaban atas apa yang terjadi. Dia menambahkan,

“Ketika Anda meminta kami untuk bertanggung jawab, itu benar-benar tidak pantas.”