Beanstalk Farms は DeFi ガバナンスのエクスプロイトで 1 億 8,200 万ドルを失う

信用ベースのステーブルコイン プロトコルである Beanstalk Farms は、2 つの悪質なガバナンス案とフラッシュ ローン攻撃によって引き起こされたセキュリティ侵害により、1 億 8,200 万ドルの担保をすべて失いました。

プロトコルの問題はシードされた ウクライナに資金を寄付するための議定書を求めた搾取者によって土曜日に発行された疑わしいガバナンス提案BIP-18およびBIP-19によって。しかし、これらの提案には悪意のあるライダーが付けられており、最終的にプロトコルからの資金のシンクホールを作成しました。によると スマート コントラクト オーディター BlockSec に。

これ分散型金融の最新のセキュリティ侵害 (DeFi) プロトコルは、UTC 午後 12 時 24 分に行われました。当時、搾取者は Aave から 10 億ドルのフラッシュ ローンを引き出しました (おばけ ) DAI で指定されたプロトコル (来て )、米ドルコイン (USDC )、テザー (USDT ) ステーブルコイン。彼らはこれらの資金を使用して、プロトコルのガバナンスの 67% 以上を引き継ぐのに十分な資産を蓄積し、承認 独自の提案。

私たちは前進するためにあらゆる努力をしています。分散型プロジェクトとして、私たちは DeFi コミュニティとチェーン分析の専門家に、CEX を介して資金を引き出す悪用者の能力を制限するのを手伝ってくれるよう求めています。搾取者が議論にオープンであるなら、私たちもそうです。https://t.co/fwceVz6hbi

— Beanstalk ファーム (@BeanstalkFarms)2022 年 4 月 17 日

フラッシュローンは実行して返済する 単一のブロック内で、通常、一度に完了するために複数のスマート コントラクトを呼び出します。フラッシュローンは、過去に実行するために使用されていましたハッキングまたはセキュリティの悪用 他のプロトコルの。 Beanstalk Farms は、Ethereum 上の分散型アルゴリズム ステーブルコイン発行プラットフォームです。

スマート コントラクトとガバナンス手順が設計どおりに機能したため、このケースは技術的にはハッキングではありませんでした。プロジェクトのスポークスパーソンである「Publius」は、月曜日の会議で次のように述べ、設計の欠陥が悪用されたことを認めました。

「豆の木を成功に導くための同じガバナンス手順が、最終的には破綻したことは残念です。」

ブロックチェーンのセキュリティ分析会社 PeckShield通知 Beanstalk チームは、日曜日の午後 12 時 41 分 (UTC) に Twitter を介して、「こんにちは、@beanstalkFarms、ご覧になりたいと思われるかもしれません」という不吉な声明に問題がある可能性があることを伝えました。

私たちの最初の分析は、@ビーンズトークファーム 損失は約 1 億 8,200 万ドルです。盗まれた資産の内訳は、79,238,241 BEAN3CRV-f、1,637,956 BEANLUSD-f、36,084,584 BEAN、0.54 UNI-V2_WETH_BEAN です。https://t.co/8OzPn8F8ot

— PeckShield Inc. (@peckshield)2022 年 4 月 17 日

その時点で、手遅れでした。搾取者はすでに約 8,000 万ドルのイーサを手に入れていました (イーサリアム ) と Beans (BEAN) の間、プロトコル全体で 1 億 8,200 万ドルのロックされた合計値 (TVL) が失われました。によると ペックシールドへ。 BEAN は現在、約 83% 下落し、$0.17 で取引されています。によると にコインゲッコー しかし、搾取者がトークンを投棄したとき、0.06 ドルで底を打ちました。

悪用者は BEAN を ETH に交換し、そのコインを Tornado Cash に送信して、デジタル トラックをカバーしました。ただし、彼らは 250,000 USDC をウクライナの暗号寄付ウォレットにも送信しました。

4 月 17 日の午後 11 時 49 分（UTC）、Publius は、損失を取り戻すベンチャー キャピタルが存在しないため、プロジェクトは失われる可能性が高いと書き、「私たちはクソだ」と付け加えた。

4 月 18 日の Beanstalk Discord チャンネルでのチームとコミュニティのミーティングで、Publius はプロジェクトを開発した 3 人の個人を公開しました。彼らはベンジャミン・ワイントローブ、ブレンダン・サンダーソン、マイケル・モントーヤで、シカゴ大学に一緒に通い、Beanstalk Farms を考案しました。 

モントーヤ氏は、チームが連邦捜査局（FBI）の犯罪センターに連絡を取り、「加害者を追跡し、資金を回収するために彼らと完全に協力する」と述べた.

プロトコルのスマート コントラクトは一時停止され、すべてのガバナンス権限がチームによって取り消されました。

関連している：Ronin Bridge ハッキングの背後には北朝鮮の Lazarus グループが関与しているとされる

コインテレグラフが、FBIが彼らを助けるための法的手段を持っていると信じているかどうか尋ねたとき、チームは応答しませんでしたが、パブリウスはこれが間違いなく調査されるべき窃盗であると信じています.

Beanstalk のコミュニティは、チーム自身が多大な個人的損失を被ったにもかかわらず、困難な時期にチームを支えてきました。しかし、コミュニティ メンバーの Astrabean は、プロジェクトが前進しなければならない正直な間違いとして起こったことを受け入れるのではなく、攻撃に対してチームがより多くの責任を負うべきだと考えています。彼は、「何が起こったのかについて責任を負うリーダーとしてあなたに望んでいただろう」と述べた.

コミュニティ メンバーの CharlieP は、プロトコルの信頼性に関する懸念を繰り返しました。彼はチームに「あなたはこの努力に責任がないと言っているのですか？もしそうなら、これが二度と起こらないと誰が信じられるでしょうか?」

Publius は、このプロジェクトは単なるオープンソース コードの実験であり、ビジネスではなく、彼もチームも何が起こったのかについて責任を負うべきではないと答えました。彼が追加した、

「私たちに責任を取るように求めるとき、それは本当に不適切です。」