Beanstalk Farms, DeFi 거버넌스 악용으로 1억 8,200만 달러 손실

신용 기반 스테이블 코인 프로토콜 Beanstalk Farms는 두 가지 불길한 거버넌스 제안과 플래시 론 공격으로 인한 보안 침해로 인해 1억 8,200만 달러의 담보를 모두 잃었습니다.

프로토콜의 문제는씨를 뿌린 의심스러운 거버넌스 제안 BIP-18 및 BIP-19는 우크라이나에 자금을 기부하기 위해 프로토콜을 요청한 착취자가 토요일에 발행했습니다. 그러나 이러한 제안에는 악의적인 라이더가 첨부되어 궁극적으로 프로토콜에서 자금의 싱크홀을 만들었습니다.~에 따라 스마트 계약 감사자 BlockSec에.

이것분산 금융의 최신 보안 위반 (DeFi) 프로토콜은 UTC 오후 12:24에 진행되었습니다. 당시 착취자는 Aave(귀신 ) DAI로 표시된 프로토콜(어서 해봐요 ), USD 코인(USDC ) 및 테더(USDT ) 스테이블 코인. 그들은 이 자금을 사용하여 프로토콜 거버넌스의 67%를 차지할 수 있는 충분한 자산을 축적했으며승인하다 그들 자신의 제안.

우리는 앞으로 나아가기 위해 모든 노력을 기울이고 있습니다. 분산형 프로젝트로서 우리는 DeFi 커뮤니티와 체인 분석 전문가에게 CEX를 통해 자금을 인출할 수 있는 착취자의 능력을 제한할 수 있도록 도와달라고 요청하고 있습니다. 착취자가 토론에 열려 있다면 우리도 마찬가지입니다.https://t.co/fwceVz6hbi

— 콩나무 농장(@BeanstalkFarms)2022년 4월 17일

플래시론은 반드시실행 및 상환 단일 블록 내에서 일반적으로 한 번에 완료하기 위해 여러 스마트 계약을 호출합니다. 플래시론은 과거에 수행하기 위해 사용되었습니다.해킹 또는 보안 악용 다른 프로토콜의. Beanstalk Farms는 Ethereum의 분산형 알고리즘 스테이블코인 발행 플랫폼입니다.

이 사건은 스마트 계약과 거버넌스 절차가 설계된 대로 기능했기 때문에 기술적으로 해킹이 아니었습니다. 프로젝트 대변인 "Publius"는 월요일 회의에서 다음과 같이 말하면서 디자인의 결함을 악용했습니다.

"콩나무를 성공할 수 있는 위치에 올려놓은 동일한 거버넌스 절차가 결국 실패했다는 것은 유감스러운 일입니다."

블록체인 보안 분석 회사 PeckShield알림 Beanstalk 팀은 일요일 UTC 오후 12:41에 트위터를 통해 불길한 진술에 문제가 있을 수 있다고 말했습니다.

우리의 초기 분석은@콩나무농장 손실은 ~$182m입니다! 다음은 도난당한 자산의 내역입니다: 79,238,241 BEAN3CRV-f, 1,637,956 BEANLUSD-f, 36,084,584 BEAN 및 0.54 UNI-V2_WETH_BEAN.https://t.co/8OzPn8F8ot

— PeckShield Inc.(@peckshield)2022년 4월 17일

그 시점에서는 너무 늦었습니다. 착취자는 이미 약 8천만 달러 상당의 Ether(ETH ) 및 Beans(BEAN) 전체 프로토콜이 1억 8,200만 달러의 총 잠금 가치(TVL)를 잃었습니다.~에 따라 펙쉴드에. BEAN은 현재 약 83% 하락한 $0.17에 거래되고 있으며,~에 따라 에게코인게코 하지만 익스플로러가 토큰을 버렸을 때 $0.06에서 바닥을 쳤습니다.

익스플로러는 BEAN을 ETH로 교환한 다음 코인을 Tornado Cash로 보내 디지털 트랙을 덮었습니다. 그러나 그들은 또한 250,000 USDC를 우크라이나 암호화 기부 지갑으로 보냈습니다.

4월 17일 UTC 오후 11시 49분에 Publius는 손실을 회수할 수 있는 벤처 캐피탈이 없기 때문에 프로젝트가 손실될 가능성이 있다고 썼고 "우리는 엿먹었다"라고 덧붙였습니다.

4월 18일 Beanstalk Discord 채널의 팀 및 커뮤니티 회의에서 Publius는 프로젝트를 개발한 세 명의 개인을 독살했습니다. 그들은 Benjamin Weintraub, Brendan Sanderson 및 Michael Montoya입니다. 그들은 모두 함께 시카고 대학에 다녔고 Beanstalk Farms를 구상했습니다. 

Montoya는 팀이 FBI(연방 수사국) 범죄 센터에 연락했으며 "가해자를 추적하고 자금을 회수하기 위해 그들과 전적으로 협력할 것"이라고 말했습니다.

프로토콜의 스마트 계약이 일시 중지되었으며 모든 거버넌스 권한이 팀에 의해 취소되었습니다.

관련된:로닌 브리지 해킹 배후에 북한 라자루스 그룹 주장

팀은 FBI가 그들을 도울 수 있는 법적 의지가 있다고 믿는지 코인텔레그래프가 물었을 때 응답하지 않았지만 Publius는 이것이 확실히 조사해야 할 절도라고 믿고 있습니다.

Beanstalk의 커뮤니티는 엄청난 개인적 손실에도 불구하고 힘든 시간에 팀을 대부분 지원해 왔습니다. 그러나 커뮤니티 구성원인 Astrabean은 발생한 일을 프로젝트가 계속 진행되어야 하는 정직한 실수로 받아들이기보다는 팀이 공격에 대해 더 많은 책임을 져야 한다고 생각합니다. 그는 "나는 당신이 지도자로서 일어난 일에 대해 책임을 지기를 원했을 것입니다."라고 말했습니다.

커뮤니티 회원 CharlieP는 프로토콜의 신뢰에 대한 우려를 반영했습니다. 그는 팀에 “이 노력에 대한 책임이 없다는 말씀이신가요? 그렇다면 이런 일이 다시는 일어나지 않을 것이라고 누가 믿겠습니까?”

Publius는 프로젝트가 비즈니스가 아닌 오픈 소스 코드 실험일 뿐이며 발생한 일에 대해 자신이나 팀 모두 책임을 져야 한다고 응답했습니다. 그는 덧붙였다,

“우리에게 책임을 묻는 것은 정말 부적절합니다.”