作者ybite (小犬/小B)
看板DigiCurrency
标题[新闻] Beanstalk 遭闪电贷攻击损失 1.8 亿美元
时间Mon Apr 18 13:04:06 2022
新闻来源连结:
https://www.blocktempo.com/attacker-drains-182m-from-beanstalk/
新闻本文:Beanstalk 遭闪电贷攻击损失 1.8 亿美元,稳定币 $BEAN 脱钩瞬崩跌 90%!
稳定币协议 Beanstalk Farms 昨日晚间惊传遭骇客闪电贷攻击,损失 1.82 亿美元资产
,攻击者至少盗取了价值 8,000 万美元资产,并成功转向混币器 Tornado;稳定币
BEAN 的价格也因攻击而脱钩近八成。
基於以太坊的稳定币协议 Beanstalk Farms,官方紧急在周 (17) 日晚间宣布协议遭骇客
闪电贷攻击,暂停一切与合约互动,并在调查攻击事件的发生原因。
据区块链安全公司 PeckShield 稍晚在 Twitter 上发文,协议损失 1.82 亿美元资产,
攻击者盗取了至少价值 8,000 万美元的资产。
https://twitter.com/peckshield/status/1515713013868814336
造成攻击发生的原因
据了解,骇客透过闪电贷在以下平台获得资金:Aave 上的 3.5 亿 DAI、5 亿 USDC 和
1.5 亿 USDT; Uniswap v2 上的 3,200 万 BEAN;来自 SushiSwap 的 1,160 万 LUSD。
https://i.imgur.com/l8IpkNg.png
这使他们能够积累大量 Beanstalk 的原生治理代币 Stalk,借助这些 Stalk 代币授予的
投票权,让攻击者能够快速通过恶意治理提案。接下来,骇客部署并投票支持了一个虚假
的提案「BIP-18」称要向乌克兰提供 25 万金援,该 BIP 成功耗尽资金池资金,将资金
从协议转移到了骇客私人钱包。
最後,则是要消除流动性、偿还闪电贷款,骇客成功将所有收到的资金转换为 24,830
ETH( 现价约 7,600 万美元),并流向了 Tornado Cash;另外据 PeckShield 数据,骇
客还向乌克兰加密捐赠地址捐赠了 25 万 USDC。
https://i.imgur.com/7Ss8MUq.png
用户损失恐求偿无门
针对这毁灭性的打击,项目方在官方 Discord 中则表示,用户可无法在这次攻击後获得
补偿:
老实说,不知道该说什麽。
我们完蛋了。 该项目没有任何风险投资支持,因此极不可能有任何形式的纾困。
https://i.imgur.com/HWHC68c.png
BEAN 瞬间崩跌
Beanstalk 的 BEAN 稳定币价格也因攻击而崩溃。根据 CoinGecko 数据,截至发稿前,
该美元稳定币价格昨晚一小时内崩跌 90% 以上至 0.0635 美元,截稿前离挂钩的 1 美元
仍下跌 77% ,目前报 0.228 美元。
https://i.imgur.com/MVWKrS1.png
评论:
上亿美金起跳的 DeFi 攻击好像快变成家常便饭了...
另外骇客还蛮好心的,在虚假提案中还捐了25万个USDC给乌克兰呢
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 211.22.28.157 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/DigiCurrency/M.1650258249.A.A9B.html
※ 编辑: ybite (211.22.28.157 台湾), 04/18/2022 13:05:09
1F:→ royroy666: IRON 04/18 13:04
2F:→ allen139443: 还真捐25万 04/18 13:37
3F:推 timeflying: Anchor protocol 会不会也被盗? 04/18 14:01
4F:推 MACD: 唉,就说算稳都是… 04/18 14:03
5F:推 jackie0804: 早说了算稳就是等着被攻击的XD 04/18 14:25
6F:推 SamuelLuo: 算稳真的都是… 04/18 14:39
7F:推 a1379: Anchor:不要看我啊 04/18 15:31
8F:推 kckckckc: 闪电贷原本到底要拿来干嘛的啊? 感觉功用就是来发动攻 04/18 16:46
9F:→ kckckckc: 击xD 可以任意借数量,又不用信用审查,看起来完全就是 04/18 16:46
10F:→ kckckckc: 乱源囧 04/18 16:46
11F:推 tkforever: 我还有10万UST欸 该转走了吗 04/18 16:55
12F:推 MACD: 闪电贷好用的很,工具没有好坏 04/18 16:56
13F:→ visualcookie: defi的路还有得走,损失金额没有最高只有更高 04/18 17:02
14F:推 Qidu: 只有usdc可信 04/18 18:20
15F:→ ybite: DeFi 的问题我觉得是尝试太多导致一个环节爆掉连环炸 04/18 18:45
16F:→ ybite: 完全依合约运作的链听起来很美好 但怎麽回避攻击不容易 04/18 18:47
17F:推 abcccbbs: 乌克兰赚到 04/18 23:16
18F:→ gajo1564: 着眼於治理用贷的钱去取得投票权投恶意提案 跟影响预言 04/19 01:10
19F:→ gajo1564: 机手法又不同 或许该注意其他协议链上治理有没对此防备 04/19 01:10
20F:推 kckckckc: 还是觉得闪电贷太危险了,像是把核能开放给民间自由使 04/19 02:18
21F:→ kckckckc: 用,却只算交回来的核废料量够不够xD 影响力与使用限制 04/19 02:18
22F:→ kckckckc: 不成比例 04/19 02:18
23F:推 blackway0226: 稳定毙+1 04/19 08:44
24F:→ JoyRex: 偷8千块捐25元洗名声 04/19 09:00
25F:推 doom3: 提案投票不都要一周以上 为啥闪电贷可以成功 04/19 10:35
26F:→ ybite: 看了白皮书 这个币的治理模型只要掌握2/3多数就吃无敌星星 04/19 14:34
27F:→ ybite: 可以提前通过投票期(7天变1天) 跟暂停定期机制(Season) 04/19 14:39
28F:推 kckckckc: 好像有没有提早差别不大 就是等可以决定投票结果时借一 04/19 16:16
29F:→ kckckckc: 堆票来投给自己 治理权可以被闪贷 你国家借我10秒投一 04/19 16:16
30F:→ kckckckc: 下总统xD 04/19 16:16