區塊鏈分析公司 Peck Shield 於周日上午發布警告稱,一名攻擊者設法從 Beanstalk Farms 中提取了價值約 1.82 億美元的加密貨幣。據悉,作為一個旨在平衡不同加密貨幣資產供需的去中心化金融(DeFi)項目,攻擊者利用了 Beanstalk 的“多數投票治理系統”,這也是諸多 DeFi 協議的核心功能。
扣去執行攻擊所需注入的一些資金,預計黑客的“凈利潤”在 8000 萬美元左右。不久后,Beanstalk 在一條推文中證實了這輪攻擊,並聲稱會在調查后儘快向社區發布公告。
Beanstalk 自詡為“就與分佈式信用的穩定幣協議”、且運行着一套協議。參與者通過向中央資金池(筒倉 / silo)注入資金而獲得獎勵,而該資金池會藉助 bean 代幣實現幣值的平衡(約 1:1 美元)。
與許多其他 DeFi 項目一樣,Beanstalk 的創建者(Publius 開發團隊)引入了一套治理機制,以允許參與者對代碼更改進行集體投票。
然後他們將獲得與其持有的代幣價值成比例的投票權,但這也產生了一個明顯易被別有用心的攻擊者所濫用的漏洞。
截圖(來自:Etherscan)
接着攻擊者結合了另一款名為“閃貸”(flash loan)的 DeFi 產品,向 Beanstalk 平台發起了可在極短時間內(幾分鐘、甚至數秒)借入大量加密貨幣的行動。
原本 flash loan 旨在提供利用流動性的價格套利機會,但最新攻擊已經無情地表明它也可被用於更邪惡的黑客攻擊目的。
DAO 項目被陰霾深深籠罩(via Kraken)
區塊鏈安全公司 CertiK 分析指出,Beanstalk 攻擊者利用了名為 Aave 的 DeFi 協議、以借入近 10 億美元的加密貨幣資產。然後將其轉換為足夠的 bean,以獲得該項目 67% 的投票權。
憑藉這一絕對多數的投票權,他們得以批准執行將資產轉移到自己錢包的代碼、同時立即償還閃貸,最終獲得 8000 萬美元的凈利潤、而整個攻擊過程甚至不到 13 秒。