算法穩定幣項目 Beanstalk Farms 遭遇閃電貸攻擊,攻擊者竊取了大約 8 千萬美元的加密貨幣,但 Beanstalk 協議的損失更為慘重,高達 1.82 億美元,加密資產鎖倉價值(TVL)一夕歸零,而原本應該一直錨定美元價格的 BEAN 也下跌約 70.4%,發稿時交易價格為 0.30 美元。
據稱,這次事件的起因是,攻擊者於 4 月 16 日發布 2 項可疑的治理提案:BIP-18 、 BIP-19,要求該協議向烏克蘭捐款。然而,根據智能合約審計師 BlockSec 的說法,攻擊者隨後利用這些提案盜取協議資金。
4 月 17 日晚間,攻擊者從 AAVE 協議中取出 10 億美元的閃電貸,並使用這些資金累積到足夠的資產,用來接管 Beanstalk 協議 67% 的治理權,以批准通過自身提出的治理提案,把儲存在協議內的資金全數轉走。
We’re engaging all efforts to try to move forward. As a decentralized project, we are asking the DeFi community and experts in chain analytics to help us limit the exploiter's ability to withdraw funds via CEXes. If the exploiter is open to a discussion, we are as well. https://t.co/fwceVz6hbi
— Beanstalk Farms (@BeanstalkFarms) April 17, 2022
值得注意的是,閃電貸必須在同一筆交易中借入和償還貸款,通常需要同時調用多個智能合約才能完成,但過去曾多次被有心人士利用,以極低的成本撬動大量資金,在多個協議間進行價格操縱或套利。
嚴格來說,這起事件並非駭客攻擊,因為在整個過程當中,無論是智能合約或治理流程都照常運行,只是它們的設計缺陷被惡意人士利用了,項目發言人「Publius」在 4 月 18 日的會議上承認了這一點,他說:
不幸的是,治理流程造就了 Beanstalk 的成功,但最終也導致了它的失敗。
Publius 續稱,由於沒有創投資金支持,無法彌補損失,該項目可能會以失敗告終,並補充說:「我們死定了。」
根據區塊鏈資安業者派盾(PeckShield)的說法,攻擊者已竊取了大約 8 千萬美元的加密貨幣,包括 24,830 枚以太幣(價值約 7,580 萬美元)和 3,600 萬枚 BEAN 代幣,但 Beanstalk 協議的損失更為慘重,高達 1.82 億美元,加密資產鎖倉價值(TVL)一夕歸零。
根據 CoinGecko 的數據,原本應該一直錨定美元價格的 BEAN 下跌約 70.4%,發稿時交易價格為 0.30 美元,稍早攻擊者拋售代幣時曾一度跌至 0.06 美元。
PeckShield 指出,交易數據表明,攻擊者已將 BEAN 代幣兌換成以太幣,然後把資金轉移到混幣器 Tornado Cash,以掩飾資金流向進行洗錢。除此之外,攻擊者還向烏克蘭的加密貨幣捐贈地址發送了 250,000 USDC,目前其帳戶中還有 15,154 枚以太幣。
免責聲明:本文只為提供市場訊息,所有內容及觀點僅供參考,不構成投資建議,不代表區塊客觀點和立場。投資者應自行決策與交易,對投資者交易形成的直接或間接損失,作者及區塊客將不承擔任何責任。
