Beanstalk Farms, DeFi yönetişim istismarında 182 milyon dolar kaybetti

Kredi tabanlı stabilcoin protokolü Beanstalk Farms, iki uğursuz yönetişim önerisi ve bir hızlı kredi saldırısının neden olduğu bir güvenlik ihlalinden 182 milyon dolarlık teminatının tamamını kaybetti.

Protokol için sorun, protokolün Ukrayna'ya fon bağışlanmasını isteyen istismarcı tarafından 16 Nisan'da yayınlanan şüpheli BIP-18 ve BIP-19 teklifler  tarafından tohumlandı .Bununla birlikte, bu teklifler, akıllı sözleşme denetçisi BlockSe'e  göre nihayetinde protokolden fonların çukurunu oluşturan kötü niyetli bir sürücüye bağlıydı .

Merkezi olmayan bir finans (DeFi) protokolünün bu son güvenlik ihlali UTC saat 12:24'te gerçekleşti.O zaman , istirmarcı DAI ,USD Coin (USDC)  ve Tether ( USDT ) sabit paraları cinsinden AAVE (AAVE) protokolünden 1 milyar dolarlık flash kredi aldı . Bu fonları, protokolün yönetiminin %67'sini devralacak ve kendi tekliflerini onaylayacak kadar varlık biriktirmek için kullandı.

Bir anlık kredi, tek bir blok içinde yürütmeli ve geri ödemelidir ve genellikle birden fazla akıllı sözleşmeyi tamamlamak için çağrıda bulunur. Flash krediler geçmişte , diğer protokollerin salsırıların ve güvenlik açıklarını gerçekleştirmek için kullanılmıştır. Beanstalk Farms, Ethereum üzerinde merkezi olmayan bir algoritmik stabilcoin veren platformdur.

Akıllı sözleşmeler ve yönetişim prosedürleri tasarlandığı gibi çalıştığı için bu vaka teknik olarak bir hack değildi. Tasarımlarındaki kusurlardan yararlanıldı ve proje sözcüsü "Publius" 18 Nisan'da yaptığı bir toplantıda şunları söyledi:

'' Fasülye sırığını başarılı bir konuma getiren aynı yönetişim prosedürünün nihayetinde onu geri alması talihsiz bir durum.''

 

Blockchain güvenlik analiz firması PeckShield, Beanstalk ekibine 17 Nisan günü saat 12:41 UTC'de Twitter üzerinden şu uğursuz ifadeyle ilgili bir sorun olabileceğini bildirdi: "Merhaba, @beanstalkFarms, bir göz atmak isteyebilirsiniz."

O noktada, çok geçti.Peckshield'e göre , sömüren, Ether (ETH)  ve Beans'te (BEAN) kabaca 80 milyon dolar kazanmıştı ve tüm protokol, toplam 182 milyon dolarlık kilitli değerini (TVL) kaybetti . BEAN şu anda CoinGecko'ya göre 0.17 $'dan yaklaşık %83 düşüşle işlem görüyor , ancak istismarcı jetonlarını terk ettiğinde 0.06 $'a düştü.

İstismarcı, BEAN'i ETH ile takas etti ve ardından dijital izlerini kapatmak için paraları Tornado Cash'e gönderdi. Ancak, Ukrayna Kripto Bağış cüzdanına da 250.000 USDC gönderdiler.

 

17 Nisan UTC saat 23:49'da Publius, kayıpları telafi edecek herhangi bir risk sermayesi desteği olmadığı için projenin büyük olasılıkla kaybedileceğini yazdı ve “Sikildik” diye ekledi.

18 Nisan'da Beanstalk Discord kanalında bir ekip ve topluluk toplantısında, Publius projeyi geliştiren üç kişiyi doxxed. Bunlar, Chicago Üniversitesi'ne birlikte katılan ve Beanstalk Farms'ı tasarlayan Benjamin Weintraub, Brendan Sanderson ve Michael Montoya. 

Montoya, ekibin Federal Soruşturma Bürosu (FBI) Suç Merkezi'ne ulaştığını ve "faillerin izini sürmek ve fonları geri almak için onlarla tam olarak işbirliği yapacağını" söyledi.

Protokolün akıllı sözleşmeleri duraklatıldı ve tüm yönetim ayrıcalıkları ekip tarafından iptal edildi.

 

Cointelegraph, FBI'ın kendilerine yardım etmek için herhangi bir yasal yolu olup olmadığına inanıp inanmadıklarını sorduğunda ekip yanıt vermedi, ancak Publius bunun kesinlikle araştırılması gereken bir hırsızlık olduğuna inanıyor.

Beanstalk topluluğu, kendi muazzam kişisel kayıplarına rağmen, deneme zamanında çoğunlukla takımı destekledi. Ancak topluluk üyesi “Astrabean”, yaşananları projenin devam etmesi gereken dürüst bir hata olarak kabul etmek yerine ekibin saldırı için daha fazla sorumluluk alması gerektiğine inanıyor. “Liderler olarak olanlardan sorumlu olmanızı isterdim” dedi.

Topluluk üyesi “CharlieP”, protokole duyulan güven konusundaki endişeleri yineledi. Takıma “Bu çaba için hiçbir sorumluluğunuz olmadığını mı söylüyorsunuz? Eğer durum buysa, bunun bir daha olmayacağına kime güveneceğiz?”

Publius, projenin yalnızca bir açık kaynak kod deneyi olduğunu, bir işletme olmadığını ve olanlardan ne kendisinin ne de ekibin sorumlu tutulmaması gerektiğini söyledi. Ekledi,

'' Bizden sormumluluk almamızı istediğinde, bu gerçekten uygunsuz.''