HACKING

Η DeFi πλατφόρμα Beanstalk θύμα επίθεσης – έχασε 182 εκατ. δολάρια

This post was originally published on this site

Η DeFi πλατφόρμα Beanstalk αποκάλυψε την Κυριακή ότι υπέστη παραβίαση ασφαλείας που είχε ως αποτέλεσμα οικονομικές απώλειες 182 εκατομμυρίων δολαρίων, ενώ ο εισβολέας έκλεψε 80 εκατομμύρια δολάρια σε crypto assets.

Ως αποτέλεσμα αυτής της επίθεσης, η εμπιστοσύνη στην αγορά του Beanstalk έχει διακυβευτεί και η αξία του αποκεντρωμένου σταθερού νομίσματος BEAN έχει καταρρεύσει από λίγο περισσότερο από 1 $ την Κυριακή σε 0,11 $ αυτήν τη στιγμή.

Η πλατφόρμα αποκεντρωμένης χρηματοδότησης (DeFi) ανέφερε στο Discord κανάλι της ότι ο εισβολέας πήρε ένα “flash loan” στο Aeve, ένα πρωτόκολλο ρευστότητας, και χρησιμοποίησε το voting power τους από το holding μεγάλου ποσού του εγγενούς governance token Stalk για να περάσει μια κακόβουλη πρόταση.

Κανονικά, τα κεφάλαια που χρησιμοποιούνται για ψηφοφορία στην ενότητα διακυβέρνησης του συστήματος παραμένουν κλειδωμένα για κάποιο χρονικό διάστημα μετά την ψηφοφορία μιας πρότασης. Το πρωτόκολλο Beanstalk χρησιμοποίησε το πρότυπο Diamond EIP-2535 που σημαίνει ότι τα διάφορα assets που είναι αποθηκευμένα στο πρωτόκολλο θα υπήρχαν σε μία μόνο διεύθυνση.

Το Πρωτόκολλο Beanstalk υποστήριζε αναβαθμίσεις πρωτοκόλλου μέσω του μηχανισμού governance του Beanstalk-Improvement-Proposal (BIP) και ως εκ τούτου, ήταν δυνατό για μια αναβάθμιση να εκτελέσει αυθαίρετη εκτέλεση κώδικα, επιτρέποντας έτσι στον εισβολέα να ανακτήσει τα κλειδωμένα κεφάλαιά του ως μέρος της κακόβουλης ενημέρωσης.

Μια ανάλυση της επίθεσης από ελεγκτές έξυπνων συμβολαίων και προγραμματιστές στην Omniscia εξηγεί ότι ο χάκερ κατάφερε να κλέψει τα περιουσιακά στοιχεία μέσω μιας κακόβουλης πρότασης:

Το Beanstalk Protocol αντιμετώπισε επίθεση flash-loan λόγω ενός ελαττώματος στο Curve LP Silos που εισήχθη πρόσφατα, το οποίο έθεσε σε κίνδυνο τον μηχανισμό διακυβέρνησης του πρωτοκόλλου, επιτρέποντας τελικά στον εισβολέα να εκτελέσει μια επείγουσα εκτέλεση μιας κακόβουλης πρότασης που αποσπά τα κεφάλαια του project.

Ουσιαστικά, ο εισβολέας επέτρεψε στον εαυτό του να αποστραγγίσει όλα τα χρήματα του πρωτοκόλλου σε ένα ιδιωτικό πορτοφόλι Ethereum σε μια περίπτωση, έχοντας τη δύναμη να ψηφίσει υπέρ της δράσης.

Ένα flash loan επιτρέπει στους χρήστες να δανείζονται μεγάλο αριθμό stablecoins από άλλους εμπόρους χωρίς να προσφέρουν ασφάλεια και η διαδικασία έγκρισης ενός δανείου και επιστροφής του γίνεται σε μία μόνο συναλλαγή στο blockchain, μέσα σε δευτερόλεπτα.

Ορισμένοι χάκερ έχουν εντοπίσει τρωτά σημεία σε διάφορες πλατφόρμες DeFi που είναι εκμεταλλεύσιμα μέσα σε αυτά τα σύντομα χρονικά διαστήματα, εκτελώντας κακόβουλες ενέργειες αμέσως μετά την έγκριση ενός flash loan.

Οι πλατφόρμες DeFi αμύνονται έναντι αυτής της απειλής χρησιμοποιώντας αποκεντρωμένους χρησμούς τιμών και άλλα συστήματα προστασίας, αλλά δεν έχουν δημιουργήσει όλες μια ισχυρή άμυνα.

Η επίθεση στο Beanstalk εκμεταλλεύτηκε την έλλειψη ενός ανθεκτικού μέτρου για να σταματήσει τη χειραγώγηση του governance μέσω Stalk flash loans, που ήταν το σημείο αποτυχίας που έκανε την επίθεση επιτυχημένη.

Τι συμβαίνει τώρα

Η Beanstalk δεν έχει κοινοποιήσει τι θα κάνει από εδώ και πέρα, επομένως η αποζημίωση των επενδυτών παραμένει μια αβέβαιη ενέργεια.

Η πλατφόρμα εξακολουθεί να διερευνά το περιστατικό και κάλεσε ανοιχτά την κοινότητα του DeFi και τους ειδικούς στην ανάλυση blockchain για να τους βοηθήσουν να σώσουν ό,τι μπορούν. Ταυτόχρονα, κάλεσε και τον exploiter να διαπραγματευτεί.

Πηγή πληροφοριών: bleepingcomputer.com

The post Η DeFi πλατφόρμα Beanstalk θύμα επίθεσης – έχασε 182 εκατ. δολάρια appeared first on SecNews.gr.

https://www.secnews.gr/

%d bloggers like this: