Beanstalk Farms mất 182 triệu đô la trong khai thác quản trị DeFi

Giao thức stablecoin dựa trên tín dụng Beanstalk Farms đã mất tất cả tài sản thế chấp trị giá 182 triệu đô la do vi phạm an ninh gây ra bởi hai đề xuất quản trị độc ác và một cuộc tấn công cho vay chớp nhoáng.

Vấn đề đối với giao thức làgieo hạt bởi các đề xuất quản trị đáng ngờ BIP-18 và BIP-19, được đưa ra vào thứ Bảy bởi kẻ khai thác, kẻ đã yêu cầu giao thức quyên góp tiền cho Ukraine. Tuy nhiên, những đề xuất đó có một trình điều khiển độc hại gắn liền với chúng và cuối cùng đã tạo ra hố sụt tiền từ giao thức,theo cho kiểm toán viên hợp đồng thông minh BlockSec.

Cái nàyvi phạm an ninh mới nhất của một tài chính phi tập trung (DeFi) diễn ra lúc 12:24 chiều UTC. Vào thời điểm đó, kẻ khai thác đã vay 1 tỷ đô la từ Aave (BÓNG MA ) giao thức có mệnh giá là DAI (CỐ LÊN ), Đồng đô la Mỹ (USDC ) và Tether (USDT ) tiền ổn định. Họ đã sử dụng các khoản tiền này để tích lũy đủ tài sản nhằm chiếm 67% quyền quản trị của giao thức vàchấp thuận đề xuất của riêng họ.

Chúng tôi đang nỗ lực hết sức để cố gắng tiến về phía trước. Là một dự án phi tập trung, chúng tôi đang yêu cầu cộng đồng DeFi và các chuyên gia phân tích chuỗi giúp chúng tôi hạn chế khả năng rút tiền của kẻ khai thác thông qua CEX. Nếu kẻ khai thác sẵn sàng thảo luận, thì chúng tôi cũng vậy.https://t.co/fwceVz6hbi

- Trang trại Beanstalk (@BeanstalkFarms)17 Tháng Tư, 2022

Một khoản vay chớp nhoáng phải đượcthực hiện và hoàn trả trong một khối duy nhất và thường yêu cầu một số hợp đồng thông minh hoàn thành cùng một lúc. Các khoản vay nhanh đã được sử dụng trong quá khứ để thực hiệnhack hoặc khai thác bảo mật của các giao thức khác. Beanstalk Farms là một nền tảng phát hành stablecoin thuật toán phi tập trung trên Ethereum.

Trường hợp này về mặt kỹ thuật không phải là một vụ hack vì các hợp đồng thông minh và quy trình quản trị hoạt động như thiết kế. Người phát ngôn của dự án “Publius” đã thừa nhận trong một cuộc họp vào thứ Hai rằng:

“Thật không may là quy trình quản lý tương tự đã đưa cây đậu vào vị trí thành công cuối cùng lại bị hủy hoại.”

Công ty phân tích bảo mật chuỗi khối PeckShieldthông báo nhóm Beanstalk qua Twitter lúc 12:41 chiều UTC vào Chủ nhật rằng có thể có vấn đề với tuyên bố đáng ngại: “Xin chào, @beanstalkFarms, bạn có thể muốn xem qua.”

Phân tích ban đầu của chúng tôi cho thấy@BeanstalkFarms lỗ ~182 triệu đô la! Đây là bảng phân tích tài sản bị đánh cắp: 79.238.241 BEAN3CRV-f, 1.637.956 BEANLUSD-f, 36.084.584 BEAN và 0,54 UNI-V2_WETH_BEAN.https://t.co/8OzPn8F8ot

- PeckShield Inc. (@peckshield)17 Tháng Tư, 2022

Tại thời điểm đó, đã quá muộn. Kẻ khai thác đã kiếm được khoảng 80 triệu đô la Ether (ETH ) và Beans (BEAN) trong khi toàn bộ giao thức đã mất 182 triệu USD tổng giá trị bị khóa (TVL),theo đến PeckShield. BEAN hiện giảm khoảng 83% giao dịch ở mức 0,17 USD,theo ĐẾNCoinGecko nhưng đã chạm đáy ở mức 0,06 đô la khi kẻ khai thác bán phá giá mã thông báo của họ.

Kẻ khai thác đã hoán đổi BEAN lấy ETH và sau đó gửi tiền đến Tornado Cash để che dấu vết kỹ thuật số của họ. Tuy nhiên, họ cũng đã gửi 250.000 USDC đến ví tiền điện tử Ukraine Crypto Donation.

Vào lúc 11:49 tối UTC ngày 17 tháng 4, Publius đã viết rằng dự án có khả năng bị thua lỗ vì không có nguồn vốn đầu tư mạo hiểm nào hỗ trợ để bù đắp khoản lỗ, đồng thời nói thêm “Chúng tôi chết tiệt.”

Trong một cuộc họp nhóm và cộng đồng trên kênh Beanstalk Discord vào ngày 18 tháng 4, Publius đã đánh lừa ba cá nhân đã phát triển dự án. Họ là Benjamin Weintraub, Brendan Sanderson và Michael Montoya, tất cả đều cùng học tại Đại học Chicago và hình thành Nông trại Beanstalk. 

Montoya nói rằng nhóm đã liên hệ với Trung tâm Tội phạm của Cục Điều tra Liên bang (FBI) và sẽ “hợp tác đầy đủ với họ để truy tìm thủ phạm và thu hồi tiền.”

Các hợp đồng thông minh của giao thức đã bị tạm dừng và tất cả các đặc quyền quản trị đã bị nhóm thu hồi.

Có liên quan:Tập đoàn Lazarus của Triều Tiên bị cáo buộc đứng sau vụ tấn công cầu Ronin

Nhóm đã không trả lời khi Cointelegraph hỏi liệu họ có tin rằng FBI có bất kỳ sự trợ giúp pháp lý nào để giúp họ hay không, nhưng Publius tin rằng đây chắc chắn là một hành vi trộm cắp cần được điều tra.

Cộng đồng của Beanstalk chủ yếu ủng hộ nhóm trong thời gian khó khăn bất chấp những mất mát cá nhân to lớn của họ. Tuy nhiên, thành viên cộng đồng Astrabean tin rằng nhóm nên chịu trách nhiệm nhiều hơn về cuộc tấn công hơn là chấp nhận những gì đã xảy ra như một sai lầm trung thực mà dự án phải tiếp tục. Anh ấy nói rằng "Tôi muốn các bạn với tư cách là những người lãnh đạo phải chịu trách nhiệm về những gì đã xảy ra."

Thành viên cộng đồng CharlieP lặp lại những lo ngại đó về niềm tin vào giao thức. Anh ấy hỏi nhóm “Bạn đang nói rằng bạn không có trách nhiệm với nỗ lực này? Nếu đó là trường hợp, chúng ta là ai để tin tưởng rằng điều này sẽ không xảy ra nữa?

Publius trả lời rằng dự án chỉ là một thử nghiệm mã nguồn mở, không phải là một hoạt động kinh doanh và cả anh ấy lẫn nhóm đều không phải chịu trách nhiệm về những gì đã xảy ra. Anh ấy nói thêm,

“Khi bạn yêu cầu chúng tôi chịu trách nhiệm, điều đó thực sự không phù hợp.”