Beanstalk Farms, une entreprise basée sur le crédit protocole stablecoin, a confirmé avoir perdu la totalité de sa garantie de 182 millions de dollars à la suite d'une violation de la sécurité qui a été exécutée par deux sinistres propositions de gouvernance couplées à une attaque de prêt éclair.
Le protocole stablecoin a vu son système de proposition de gouvernance exploité, ce qui a permis aux acteurs malveillants d'extraire tout cet argent en garantie. Ce problème avec le protocole a été semé par une gouvernance suspecte propositions BIP-18 et BIP-19 qui ont été émis le 16 avril par le criminel qui a demandé le protocole pour donner des fonds à l'Ukraine.
Mais, ces propositions avaient un avenant malveillant qui leur était attaché qui a finalement créé le gouffre des fonds du protocole basé sur l'auditeur de contrat intelligent BlocSec.
La dernière faille de sécurité du protocole de finance décentralisée (DeFi) s'est produite à 12h24 UTC. À l'époque, le pirate a contracté 1 milliard de dollars en prêts flash du protocole AAVE (AAVE) libellés en pièces stables USD Coin (USDC), DAI, (DAI) et Tether (USDT).
Ils ont utilisé les fonds pour obtenir des actifs suffisants pour prendre en charge 67% de la gouvernance du protocole et approuver leurs propositions.
Nous engageons tous les efforts pour essayer d'aller de l'avant. En tant que projet décentralisé, nous demandons à la communauté DeFi et aux experts en analyse de chaîne de nous aider à limiter la capacité de l'exploiteur à retirer des fonds via les CEX. Si l'exploiteur est ouvert à la discussion, nous le sommes aussi. https://t.co/fwceVz6hbi
— Fermes de haricot magique (@BeanstalkFarms) 17 April 2022
Un prêt flash doit être exécuté et remboursé en un seul bloc et fait normalement appel à plusieurs contrats intelligents simultanément pour être complété. Les prêts flash ont déjà été utilisés pour exécuter des hacks et des exploits de sécurité d'autres protocoles. Beanstalk Farms est décrit comme une plate-forme algorithmique décentralisée d'émission de pièces stables alimentée par Ethereum.
Dans ce contexte, l'affaire n'était techniquement pas un hack puisque les contrats intelligents et les processus de gouvernance fonctionnaient parfaitement comme prévu. Les problèmes et les défauts de leur conception ont été exploités, ce que le porte-parole du projet "Publius" a reconnu lors d'une réunion tenue le 18 avril lorsqu'il a déclaré :
"Il est regrettable que la même procédure de gouvernance qui a mis le haricot en position de réussir ait finalement causé sa perte."
La société d'analyse de sécurité Blockchain PeckShield a informé l'équipe Beanstalk via Twitter à 12h41 UTC le 17 avril qu'il pourrait y avoir un problème avec la déclaration inquiétante :
"Bonjour, @beanstalkFarms, vous voudrez peut-être jeter un coup d'œil."
Notre première analyse montre @BeanstalkFarms la perte est d'environ 182 millions de dollars ! Voici la répartition des actifs volés : 79,238,241 3 1,637,956 BEAN36,084,584CRV-f, 0.54 2 XNUMX BEANLUSD-f, XNUMX XNUMX XNUMX BEAN et XNUMX UNI-VXNUMX_WETH_BEAN. https://t.co/8OzPn8F8ot
- PeckShield Inc. (@peckshield) 17 April 2022
À ce stade, il était trop tard. Le criminel avait déjà volé environ 80 millions de dollars en Beans (BEAN) et Ether (ETH) tandis que l'ensemble du protocole a perdu ses 182 millions de dollars en valeur totale verrouillée (TVL) sur la base des données acquises à partir de peckshield. BEAN est maintenant en baisse d'environ 80% à 0.19 $ sur la base de CoinGecko mais a atteint un creux de 0.06 $ lorsque le pirate a jeté ses jetons.
Comment l'exploiteur de Beanstalk Farms a exécuté le plan
L'exploiteur a échangé BEAN contre ETH et a ensuite envoyé les pièces à Tornado Cash pour couvrir leurs traces numériques. Mais, ils ont également envoyé 250,000 11 USDC au portefeuille Ukraine Crypto Donation. Notamment, à 49h17 UTC le XNUMX avril, Publius a publié que le projet pourrait être perdu car il n'y a pas de capital-risque pour récupérer ces pertes, déclarant "Nous sommes foutus".
Lors de la réunion officielle de l'équipe et de la communauté sur la chaîne Beanstalk Discord qui s'est déroulée le 18 avril, Publius a doxxé les trois personnes qui ont développé le projet. Parmi eux, Brendan Sanderson, Benjamin Weintraub et Michael Montoya, qui ont tous fréquenté l'Université de Chicago ensemble et lancé Beanstalk Farms.
Montoya a déclaré que l'équipe avait consulté les services du Federal Bureau of Investigation (FBI) Crime Center et :
"Coopérez pleinement avec eux pour retrouver les auteurs et récupérer les fonds."
Les contrats intelligents du protocole ont été suspendus et tous les privilèges de gouvernance ont été révoqués par l'équipe. L'équipe n'a pas répondu lorsqu'on lui a demandé s'ils pensaient que le FBI avait le droit légal de les aider, mais Publius pense qu'il s'agit d'un vol qui doit faire l'objet d'une enquête.
Acheter Crypto maintenantDans ce contexte, la communauté Beanstalk a largement soutenu l'équipe dans ses moments difficiles malgré ses pertes personnelles massives. Néanmoins, le membre de la communauté "Astrabean", pense que l'équipe doit assumer plus de responsabilité pour cette attaque au lieu d'accepter ce qui s'est passé comme une erreur honnête que le projet doit récupérer et passer à autre chose. Il a dit que:
"J'aurais voulu que vous, en tant que dirigeants, assumiez la responsabilité de ce qui s'est passé."
D'autre part, le membre de la communauté "CharlieP" a réitéré ces inquiétudes concernant la confiance dans le protocole. Il a demandé à l'équipe de Beanstalk Farms :
«Êtes-vous en train de dire que vous n'êtes pas responsable de cette entreprise? Si tel est le cas, à qui sommes-nous pour croire que cela ne se reproduira plus ? »
Publius a répondu que le projet est simplement une expérience de code open-source, pas une entreprise. Il a ajouté que ni lui ni l'équipe de Beanstalk ne devraient être tenus responsables de ce qui s'est passé. Il a déclaré:
"Quand vous nous demandez de prendre nos responsabilités, c'est vraiment inapproprié."
English
Arabic
Bulgarian
Danish
Dutch
English
Finnish
French
German
Greek
Italian
Japanese
Latvian
Norwegian
Polish
Portuguese
Romanian
Spanish
Swedish