Collodd protocol DeFi Beanstalk Farms dros $180 miliwn i chwaraewyr maleisus oherwydd camfanteisio ar Ebrill 17 a ganiataodd haciwr i basio cynnig llywodraethu.
Mae adroddiadau Ethereumseiliedig arni stablecoin gadawodd ecsbloetio protocol sawl tocyn ar goll a gwelodd ei stabl arian wedi'i begio â doler yr UD disgyn o dan y marc $1.
Dioddefodd y Goeden Ffa ecsbloetiaeth heddiw.
Mae tîm Beanstalk Farms yn ymchwilio i'r ymosodiad a byddan nhw'n gwneud cyhoeddiad i'r gymuned cyn gynted â phosib.
— Ffermydd Coeden Ffa (@BeanstalkFarms) Ebrill 17, 2022
Manteisiwyd ar brotocol ffa
cwmni diogelwch Blockchain PeckShield adroddodd y darnia gyntaf ar Twitter a dywedodd a haciwr wedi dwyn mwy na $80 miliwn trwy ecsbloetio Beanstalk Farms.
1 / Yr @BeanstalkFarms yn cael ei ecsbloetio mewn llu o txs (https://t.co/PMsdP5dnJG ac https://t.co/wyHe3ARZgU),
gan arwain at ennill $80+M i'r haciwr (Efallai y bydd colled y protocol yn fwy), gan gynnwys 24,830 ETH a 36M BEAN.- PeckShield Inc. (@peckshield) Ebrill 17, 2022
Defnyddiodd yr haciwr fenthyciadau fflach i gael llawer iawn o docynnau Beanstalk STALK, a roddodd ddigon o bŵer pleidleisio iddynt basio cynnig llywodraethu a oedd yn draenio'r holl arian ar y protocol i waled yr haciwr.
Yna talodd yr haciwr y benthyciadau fflach yn ôl o Aave, uniswap V2, a Sushiwap a throsi'r arian i ETH wedi'i lapio. Yna anfonwyd yr arian a ddygwyd trwy'r cymysgydd Arian Tornado. Fe wnaeth yr haciwr hefyd roi peth o'i cripto wedi'i ddwyn i'r Wcráin.
4/ Mae'r arian cychwynnol i lansio'r darnia yn cael ei dynnu'n ôl @SynapseProtocol ac mae y rhan fwyaf o'r enillion canlyniadol yn cael eu hadneuo i @TornadoCash. Ar hyn o bryd mae 15,154 ETH yn dal i aros yng nghyfrif y haciwr. Sylwch fod yr haciwr yn rhoi 250k USDC i'r Rhodd Crypto Wcráin. pic.twitter.com/jBjUJ0JbGj
- PeckShield Inc. (@peckshield) Ebrill 17, 2022
Mae campau benthyciad fflach yn gyffredin
Nid yw camfanteisio Beanstalk Farms yn ty tro cyntaf mae ymosodwyr wedi manteisio ar fenthyciadau fflach. Yn ôl y crynodeb ymosodiad a bostiwyd ar y gweinydd Beanstalk Discord, digwyddodd y camfanteisio oherwydd methodd Beanstalk â:
“defnyddiwch fesur gwrth-fenthyciad fflach i bennu % y coesyn a bleidleisiodd o blaid y BIP.”
1/5
Y poblogaidd newydd @beanstalkfarms collodd protocol $181M+ yn ecsbloetio heddiw, ond dim ond $76M yr enillodd yr ymosodwr.
Gadewch i ni chyfrif i maes beth ddigwyddodd? pic.twitter.com/sRjzAF8stE
- Igor Igamberdiev (@FrankResearcher) Ebrill 17, 2022
Dywedodd y cwmni diogelwch blockchain sy'n gyfrifol am archwilio contractau smart Beanstalk, Omnicia, lansiodd Beanstalk y cod gyda bregusrwydd y benthyciad fflach ar ôl ei archwiliad. Ychwanegodd yn a dadansoddiad post mortem o'r ymosodiad nad oedd wedi archwilio'r cod ymelwa arno eto.
O ystyried nifer yr achosion o campau benthyciadau fflach yn y gofod DeFi, mae'n syndod bod Beanstalk wedi cyflwyno'r cod heb archwilio priodol.
Yn ogystal, mae pryderon ynghylch a fydd y protocol yn ad-dalu defnyddwyr. Dywedodd Beanstalk Farms y bydd yn darparu mwy o ddiweddariadau yn ei gyfarfod nesaf yn neuadd y dref.
Daw'r darnia dim ond ychydig wythnosau ar ôl ecsbloetio pont Ronin colli drosodd $600 miliwn ar Axie Infinity ym mis Mawrth.
Yn y cyfamser, mae defnydd Tornado Cash gan hacwyr wedi arwain at feirniadaeth am ei ddiffyg ymdrech i atal twyll. Tdywedodd cymysgydd ETH yn ddiweddar ei fod yn defnyddio'r contract Chainanalysis Oracle i blocio cyfeiriadau a ganiatawyd gan y Swyddfa Rheoli Asedau Tramor (OFAC) rhag defnyddio ei gwasanaethau.
Defnyddiau Tornado Cash @chainlysis contract oracle i rwystro cyfeiriadau a ganiatawyd gan OFAC rhag cyrchu'r dapp.
Mae cynnal preifatrwydd ariannol yn hanfodol i gadw ein rhyddid, fodd bynnag, ni ddylai ddod ar draul diffyg cydymffurfio.https://t.co/tzZe7bVjZt— ?️ Tornado.cash ?️ (@TornadoCash) Ebrill 15, 2022
Ffynhonnell: https://cryptoslate.com/defi-protocol-beanstalk-loses-180m-in-exploit-hacker-gains-80m/