Beanstalk Farms se convirtió en el último exploit de finanzas descentralizadas (DeFi) de alto perfil, ya que los actores maliciosos explotaron el sistema de gobierno del protocolo para extraer todas sus garantías.
Una siniestra propuesta de gobernanza
Las granjas de Beanstalk perdieron USD 182 millones en garantía, convirtiéndose en el segundo exploit de DeFi de nueve cifras en un mes, gracias a una brecha de seguridad causada por dos propuestas de gobierno y un ataque de préstamo rápido. La raíz del exploit fueron dos propuestas de gobierno sospechosas, BIP-18 y BIP-19, que fueron emitidas por el atacante el 19 de abril. Las propuestas parecían bastante inocuas, pidiendo el protocolo para donar fondos a Ucrania.
Sin embargo, las propuestas tenían un jinete malicioso, que finalmente permitió que el pirata informático drene todos los fondos del protocolo, según un análisis realizado por el auditor de contratos inteligentes BlockSec. Beanstalk llevó a Twitter para reconocer el ataque y afirmó que el protocolo anunciaría el ataque en breve.
“Beanstalk sufrió un exploit hoy. El equipo de Beanstalk Farms está investigando el ataque y hará un anuncio a la comunidad lo antes posible”.
Como resultado del ataque, la moneda estable BEAN de Beanstalk se derrumbó y actualmente ha caído un 86.5%, según datos de CoinGecko. Hace solo unas semanas, la comunidad fue destrozada por otro hackeo de DeFi de 9 cifras en el Hazaña de ronin.
Detalles del ataque
La brecha de seguridad ocurrió a las 12:24 p. m. UTC cuando el atacante obtuvo $ 1 mil millones en préstamos rápidos de AAVE, que estaban denominados en monedas estables USD Coin (USDC), DAI (DAI) y Tether (USDT). Luego, el pirata informático utilizó estos fondos para adquirir activos, hacerse cargo del 67% del gobierno de Beanstalk Farm y aprobar sus propias propuestas. Beanstalk Farms tuiteó que estaban abiertos a discutir con el hacker,
“Estamos participando en todos los esfuerzos para tratar de avanzar. Como proyecto descentralizado, estamos pidiendo a la comunidad DeFi y a los expertos en análisis de cadenas que nos ayuden a limitar la capacidad del explotador para retirar fondos a través de CEX. Si el explotador está abierto a una discusión, nosotros también”.
El ataque fue señalado por la firma de análisis de seguridad PeckShield, que notificó al equipo de Beanstalk. Sin embargo, el atacante ya había desviado casi 80 millones de dólares en ETH y BEAN. Sin embargo, la pérdida para el protocolo fue mucho mayor, ya que perdió la totalidad de sus 182 millones de dólares en valor total bloqueado (TVL). Una vez que el atacante tuvo los fondos, los envió a Tornado Cash, pero no antes de enviar 250,000 XNUMX USDC a la billetera de donación de criptomonedas de Ucrania.
Flash presta una herramienta conveniente para exploits
Los préstamos flash también han permitido a los piratas informáticos realizar vulnerabilidades de seguridad en otros protocolos en el pasado. Sin embargo, en el caso de Beanstalk Farms, los eventos no pueden describirse técnicamente como un hack, ya que todos los procedimientos de gobierno y los contratos inteligentes funcionaron según lo previsto. Sin embargo, el hacker pudo explotar ciertas fallas en su diseño. El Portavoz del Proyecto “Publius” reconoció estas fallas declarando,
"Es desafortunado que el mismo procedimiento de gobierno que puso a beanstalk en una posición para tener éxito fuera finalmente su ruina".
¿Hay un camino de regreso para Beanstalk?
El vocero del proyecto, Publius, se mostró bastante pesimista con respecto al futuro del proyecto y escribió que, con toda probabilidad, el proyecto está perdido ya que no cuenta con el respaldo de los capitalistas de riesgo. Al desarrollar aún más los eventos que se desarrollaron, Publius engañó a los desarrolladores del proyecto, identificándolos como Benjamin Weintraub, Brendan Sanderson y Michael Montoya. Montoya le dijo a la comunidad que el equipo de Beanstalk se había comunicado con el FBI y cooperaría plenamente en cualquier investigación.
Algunos rumores en una comunidad solidaria
La comunidad de Beanstalk ha apoyado bastante al equipo y al proyecto hasta el momento, a pesar de sus pérdidas significativas. Sin embargo, algunos miembros de la comunidad han declarado públicamente que el equipo debería asumir más responsabilidad por el ataque. Sin embargo, Publius respondió, afirmando que el proyecto es un experimento de código fuente abierto y que ni el equipo ni él deben rendir cuentas.
Descargo de responsabilidad: este artículo se proporciona solo con fines informativos. No se ofrece ni pretende utilizarse como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.
Fuente: https://cryptodaily.co.uk/2022/04/beanstalk-farm-loses-182-m-through-governance-exploit