Beanstalk Farms 在 DeFi 治理漏洞上损失了 1.82 亿美元

基于信用的稳定币协议 Beanstalk Farms 由于两个险恶的治理提案和闪电贷攻击造成的安全漏洞损失了其所有 1.82 亿美元的抵押品。

协议的问题是播种 由剥削者周六发布的可疑治理提案 BIP-18 和 BIP-19，他们要求协议向乌克兰捐赠资金。然而，这些提案有一个恶意的附庸者，最终从协议中创造了资金的坑洞，根据 给智能合约审计师 BlockSec。

这去中心化金融的最新安全漏洞 （DeFi）协议发生在世界标准时间下午 12:24。当时，剥削者从 Aave（鬼 ) 以 DAI 计价的协议 (快点 ), 美元硬币 (美国中央银行 ), 和系绳 (泰达币 ）稳定币。他们用这些资金积累了足够的资产来接管协议的 67% 的治理和批准 他们自己的建议。

我们正在尽一切努力向前迈进。作为一个去中心化的项目，我们请求 DeFi 社区和链分析专家帮助我们限制利用者通过 CEXes 提取资金的能力。如果剥削者愿意讨论，我们也愿意。https://t.co/fwceVz6hbi

— 豆茎农场 (@BeanstalkFarms)2022 年 4 月 17 日

闪电贷必须执行并偿还 在一个区块内，通常调用多个智能合约一次完成。过去曾使用闪电贷来执行黑客攻击或安全漏洞 其他协议。 Beanstalk Farms 是以太坊上的去中心化算法稳定币发行平台。

这个案例在技术上不是黑客攻击，因为智能合约和治理程序按设计运行。他们设计中的缺陷被利用了，项目发言人“Publius”在周一的一次会议上承认了这一点，他说：

“不幸的是，使 beantalk 能够成功的相同治理程序最终却失败了。”

区块链安全分析公司 PeckShield通知 Beanstalk 团队在周日世界标准时间下午 12 点 41 分通过 Twitter 表示，不祥的声明可能存在问题：“嗨，@beanstalkFarms，你可能想看看。”

我们的初步分析表明@豆茎农场 损失约为 1.82 亿美元！以下是被盗资产的明细：79,238,241 BEAN3CRV-f、1,637,956 BEANLUSD-f、36,084,584 BEAN 和 0.54 UNI-V2_WETH_BEAN。https://t.co/8OzPn8F8ot

— PeckShield Inc. (@peckshield)2022 年 4 月 17 日

那时，为时已晚。剥削者已经偷走了大约 8000 万美元的以太币（以太币 ) 和 Beans (BEAN) 而整个协议损失了 1.82 亿美元的总价值锁定 (TVL)，根据 到 PeckShield。 BEAN 目前下跌约 83%，交易价格为 0.17 美元，根据 到币虎 但当剥削者抛售他们的代币时，价格跌至 0.06 美元。

开发者将 BEAN 换成 ETH，然后将代币发送给 Tornado Cash 以覆盖他们的数字轨道。但是，他们还向 Ukraine Crypto Donation 钱包发送了 250,000 USDC。

4 月 17 日世界标准时间晚上 11:49，Publius 写道，由于没有风险资本支持来弥补损失，该项目可能会失败，并补充说“我们完蛋了。”

在 4 月 18 日 Beanstalk Discord 频道的团队和社区会议上，Publius 对开发该项目的三个人进行了人肉攻击。他们是 Benjamin Weintraub、Brendan Sanderson 和 Michael Montoya，他们一起就读于芝加哥大学并构想了 Beanstalk Farms。

蒙托亚表示，该团队已与联邦调查局 (FBI) 犯罪中心取得联系，将“全力配合他们追查肇事者并追回资金”。

该协议的智能合约已暂停，所有治理特权已被团队撤销。

有关的：据称朝鲜拉撒路集团是 Ronin Bridge 黑客攻击的幕后黑手

当 Cointelegraph 询问他们是否相信 FBI 有任何法律资源来帮助他们时，该团队没有回应，但 Publius 认为这绝对是一起应该调查的盗窃案。

Beanstalk 的社区在困难时期一直支持团队，尽管他们自己遭受了巨大的个人损失。然而，社区成员 Astrabean 认为团队应该为这次攻击承担更多责任，而不是将发生的事情视为一个项目必须继续前进的无心错误。他说：“我希望你们作为领导者对所发生的事情负责。”

社区成员 CharlieP 回应了对协议信任的担忧。他问团队“你是说你对这项努力没有责任吗？如果是这样的话，我们能相信谁不会再发生这种情况呢？”

Publius 回应说，该项目只是一个开源代码实验，而不是一项业务，他和团队都不应该为发生的事情负责。他加了，

“当你要求我们承担责任时，这真的很不合适。”