BeanstalkFarmsはDeFiガバナンスハックで182億XNUMX万ドルを失う

Beanstalk Farms、クレジットベース ステーブルコインプロトコル、 フラッシュローン攻撃と相まって182つの不吉なガバナンス提案によって実行されたセキュリティ違反により、XNUMX億XNUMX万ドルの担保をすべて失ったことを確認しました。

ステーブルコインプロトコルでは、そのガバナンス提案システムが悪用され、悪意のある攻撃者がそのすべてのお金を担保に引き出すことができました。 プロトコルに関するこの問題は、疑わしいガバナンスによって引き起こされました 提案 18月19日にウクライナに資金を寄付するための議定書を要求した犯罪者によって発行されたBIP-16とBIP-XNUMX。

しかし、これらの提案には悪意のあるライダーが付属しており、最終的にはスマートコントラクト監査人に基づくプロトコルからの資金の陥没穴を設定しました BlockSec.

分散型ファイナンス（DeFi）プロトコルの最新のセキュリティ違反は、UTCの午後12時24分に発生しました。 当時、ハッカーは、USD Coin（USDC）、DAI、（DAI）、およびTether（USDT）ステーブルコインで表されるAAVE（AAVE）プロトコルから1億ドルのフラッシュローンを利用していました。

彼らはその資金を使って、プロトコルのガバナンスの67％以上を引き継ぐのに十分な資産を取得しました。 承認する 彼らの提案。

私たちは前進するためにあらゆる努力をしています。 分散型プロジェクトとして、DeFiコミュニティとチェーン分析の専門家に、CEXを介して資金を引き出すエクスプロイトの能力を制限するのを支援するよう依頼しています。 搾取者が議論を受け入れるのであれば、私たちもそうです。 https://t.co/fwceVz6hbi

— Beanstalkファーム（@BeanstalkFarms） 17月2022日, XNUMX

フラッシュローンはXNUMXつのブロック内で実行および返済する必要があり、通常は複数のスマートコントラクトを同時に呼び出して完了します。 フラッシュローンは、他のプロトコルのハッキングやセキュリティエクスプロイトを実行するために以前に利用されてきました。 Beanstalk Farmsは、イーサリアムを搭載した分散型アルゴリズムのステーブルコイン発行プラットフォームとして説明されています。

このコンテキストでは、スマートコントラクトとガバナンスプロセスが設計どおりに完全に機能したため、このケースは技術的にはハックではありませんでした。 プロジェクトのスポークスパーソンである「Publius」が18月XNUMX日に開催された会議で次のように述べたことを認め、設計の問題と欠陥が悪用されました。

「ビーンズトークを成功させる立場に置いたのと同じガバナンス手順が、最終的には元に戻すことであったことは残念です。」

ブロックチェーンセキュリティ分析会社のPeckShieldは、Beanstalkチームに次の方法で通知しました。 Twitter 12月41日のUTC17:XNUMXpmに、不吉な声明に問題がある可能性があるとのことです。

「こんにちは、@ beanstalkFarms、ご覧ください。」

私たちの最初の分析は、 @BeanstalkFarms 損失は​​約182億79,238,241万ドルです！ 盗まれた資産の内訳は次のとおりです。3BEAN1,637,956CRV-f、36,084,584 BEANLUSD-f、0.54 BEAN、および2UNI-VXNUMX_WETH_BEAN。 https://t.co/8OzPn8F8ot

- PeckShield Inc.（@peckshield） 17月2022日, XNUMX

この時点では手遅れでした。 犯罪者はすでにBeans（BEAN）とEther（ETH）で約80万ドルを盗みましたが、プロトコル全体は、から取得したデータに基づいてロックされた合計値（TVL）で182億XNUMX万ドルを失いました。 ペックシールド。 BEANは現在、約80％下落しており、 CoinGecko しかし、ハッカーがトークンをダンプしたとき、0.06ドルで底を打ちました。

BeanstalkFarmsExploiterが計画を実行した方法

搾取者はBEANをETHと交換し、後でデジタルトラックをカバーするためにコインをトルネードキャッシュに送りました。 しかし、彼らはまた、250,000USDCをウクライナの暗号寄付ウォレットに送りました。 特に、11月49日の協定世界時午後17時XNUMX分に、Publiusは、これらの損失を取り戻すためのベンチャーキャピタルの支援がないため、プロジェクトが失われる可能性があると発表しました。

18月XNUMX日に開催されたBeanstalkDiscordチャネルの公式チームとコミュニティの会議で、Publiusはプロジェクトを開発したXNUMX人を晒しました。 彼らには、ブレンダン・サンダーソン、ベンジャミン・ウェイントラウブ、マイケル・モントーヤが含まれ、全員がシカゴ大学に一緒に通い、ビーンズトーク・ファームを立ち上げました。

モントーヤは、チームが 連邦捜査局 （FBI）犯罪センターとは：

「彼らと完全に協力して、加害者を追跡し、資金を回収します。」

プロトコルのスマートコントラクトは一時停止され、すべてのガバナンス特権がチームによって取り消されました。 チームは、FBIが彼らを助ける法的権利を持っていると思うかどうか尋ねられたときに答えませんでしたが、Publiusはそれが調査される必要がある盗難であると考えています。

その文脈では、Beanstalkコミュニティは、個人的な損失が大きいにもかかわらず、試練の時期にチームを大いに支援してきました。 それにもかかわらず、コミュニティメンバーの「アストラビーン​​」は、プロジェクトが回復して先に進む必要がある正直な間違いとして起こったことを受け入れるのではなく、チームがこの攻撃に対してより多くの責任を負う必要があると考えています。 彼は言った：

「私はあなたがリーダーとして何が起こったのかについて説明責任を負うことを望んでいたでしょう。」

一方、コミュニティメンバーの「CharlieP」は、プロトコルへの信頼についてこれらの懸念を繰り返しました。 彼はBeanstalkFarmsチームに次のように尋ねました。

「あなたはこの努力に対して責任がないと言っているのですか？ もしそうなら、これが二度と起こらないと誰が信じるのだろうか？」

Publiusは、このプロジェクトは単なるオープンソースコードの実験であり、ビジネスではないと回答しました。 彼は、彼もBeanstalkチームも、何が起こったのかについて責任を問われるべきではないと付け加えました。 彼は言い​​ました：

「私たちに責任を取るように頼むとき、それは本当に不適切です。」