Pazar günü, bir saldırgan, farklı kripto para birimi varlıklarının arz ve talebini dengelemeyi amaçlayan merkezi olmayan bir finans (DeFi) projesi olan Beanstalk Farms’tan yaklaşık 182 milyon dolarlık kripto para çekmeyi başardı. Özellikle saldırı, birçok DeFi protokolünün temel bir özelliği olan Beanstalk’ın çoğunluk oyu yönetim sisteminden yararlandı.
saldırı oldu Pazar sabahı görüldü Hacker için net kârın, saldırıyı gerçekleştirmek için gereken ödünç alınan fonların bir kısmı hariç, çalınan toplam fonların yaklaşık 80 milyon doları olduğunu tahmin eden blockchain analitik şirketi PeckShield tarafından.
Fasulye sapı saldırıyı kabul etti kısa bir süre sonra bir tweet’te“saldırıyı araştırdıklarını ve en kısa sürede topluluğa açıklama yapacaklarını” söyledi.
Beanstalk kendisini “merkezi olmayan kredi tabanlı bir stablecoin protokolü” olarak tanımlıyor ve katılımcıların bir tokenin değerini dengelemek için kullanılan merkezi bir fon havuzuna (“silo” olarak adlandırılır) fon katkısı yaparak ödül kazandığı bir sistem işletiyor. “fasulye”) 1 dolara yakın.
Diğer birçok DeFi projesi gibi, Publius adlı bir geliştirme ekibi olan Beanstalk’ın yaratıcıları, katılımcıların kodda yapılan değişiklikler üzerinde toplu olarak oy kullanabilecekleri bir yönetim mekanizması içeriyordu. Daha sonra, sahip oldukları tokenlerin değeriyle orantılı olarak oy hakları elde edecekler ve bu da projenin geri dönüşü olduğu kanıtlanacak bir güvenlik açığı yaratacak.
Saldırı, kullanıcıların çok kısa süreler için (dakikalar hatta saniyeler) büyük miktarlarda kripto para ödünç almalarını sağlayan “flash kredi” adı verilen başka bir DeFi ürünü ile mümkün oldu. Flaş krediler likidite sağlamak veya fiyat arbitraj fırsatlarından yararlanmak içindir, ancak daha kötü amaçlar için de kullanılabilir.
Blockchain güvenlik firması CertiK’in analizine göre, Beanstalk saldırganı, merkezi olmayan protokol Aave aracılığıyla elde edilen bir flaş krediyi kullanarak 1 milyar dolara yakın kripto para birimini ödünç aldı ve bunları projede yüzde 67 oy payı elde etmek için yeterli çekirdekle takas etti. Bu çoğunluk hissesi ile varlıkları kendi cüzdanlarına aktaran kodun yürütülmesini onaylayabildiler. Saldırgan daha sonra anında krediyi geri ödeyerek 80 milyon dolarlık bir kâr elde etti.
Dayalı bir Aave flaş kredisinin süresitüm süreç 13 saniyeden daha kısa bir sürede gerçekleşti.
CertiK CEO’su ve kurucu ortağı Ronghui Gu, “Bu yıl ani kredi saldırılarında artan bir eğilim görüyoruz” dedi. “Bu saldırılar, bir güvenlik denetiminin önemini ve ayrıca Web3 kodu yazarken güvenlik sorunlarının tuzakları hakkında eğitim almanın önemini daha da vurguluyor.”
Uygun şekilde uygulandığında, DeFi hizmetleri blok zincirinin tüm güvenliğinden yararlanır, ancak karmaşıklıkları kodun tam olarak denetlenmesini zorlaştırabilir ve bu tür projeleri bilgisayar korsanları için çekici bir hedef haline getirebilir. Beanstalk hack olayında, Publius ekibi ani kredi saldırısı olasılığını azaltmak için herhangi bir hüküm eklemediklerini kabul etti, ancak durum ortaya çıkana kadar bu muhtemelen belli değildi.
Bir yorum talebi (Discord aracılığıyla Publius ekibine gönderildi) yayınlandığı an itibariyle henüz bir yanıt almadı.
Kripto para kredi platformu Fringe Finance’in CTO’su Brian Pasfield, merkezi olmayan yönetişim yapılarının (DAO’lar olarak bilinir) kendi içlerinde de sorun yaratabileceğini söyledi.
Pasfield, “DAO yönetimi şu anda DeFi’de trend oluyor” dedi. “Ademi merkeziyetçilik sürecinde gerekli bir adım olsa da, kademeli olarak ve olası tüm riskler dikkatle ağırlıklandırılarak yapılmalıdır. Geliştiriciler ve yöneticiler, geliştiriciler veya DAO üyeleri tarafından kasıtlı veya kazayla oluşturulabilecek yeni başarısızlık noktalarının farkında olmalıdır.”
Beanstalk’ta stake edilen madeni paralarını kaybeden yatırımcılar için çok az başvuru olabilir. Beanstalk kurucuları, hack’ten hemen sonra yayınlanan bir mesajda, projenin VC desteğiyle geliştirilmediğinden kurtarma paketi almasının “çok düşük bir ihtimal” olduğunu ve “becerildik” diye ekledi.
Projenin Discord sunucusunda, birçok kullanıcı on binlerce dolarlık yatırım yapılan kripto para birimini kaybettiğini iddia ediyor. Saldırıdan bu yana, bilgisayar korsanı Tornado Cash aracılığıyla fon taşıma, çalıntı kripto para birimi fonlarının aklanmasında atılması gereken bir adım haline gelen gizlilik odaklı bir mikser hizmeti. Çalınan paranın çoğu artık gizlendiği için, izini sürüp iade etmesi pek mümkün değil.
Saldırının ardından, BEAN stabilcoinin değeri 1 dolarlık sabitleyiciyi kırarak değer kaybetti ve 14 sent civarında işlem görüyor Pazartesi öğleden sonra.