攻击者利用DeFi投票漏洞卷走Beanstalk近1.82亿美元加密货币
source link: https://netsecurity.51cto.com/article/706926.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
区块链分析公司 Peck Shield 于周日上午发布警告称,一名攻击者设法从 Beanstalk Farms 中提取了价值约 1.82 亿美元的加密货币。据悉,作为一个旨在平衡不同加密货币资产供需的去中心化金融(DeFi)项目,攻击者利用了 Beanstalk 的“多数投票治理系统”,这也是诸多 DeFi 协议的核心功能。
扣去执行攻击所需注入的一些资金,预计黑客的“净利润”在 8000 万美元左右。不久后,Beanstalk 在一条推文中证实了这轮攻击,并声称会在调查后尽快向社区发布公告。
Beanstalk 自诩为“就与分布式信用的稳定币协议”、且运行着一套协议。参与者通过向中央资金池(筒仓 / silo)注入资金而获得奖励,而该资金池会借助 bean 代币实现币值的平衡(约 1:1 美元)。
与许多其他 DeFi 项目一样,Beanstalk 的创建者(Publius 开发团队)引入了一套治理机制,以允许参与者对代码更改进行集体投票。
然后他们将获得与其持有的代币价值成比例的投票权,但这也产生了一个明显易被别有用心的攻击者所滥用的漏洞。
截图(来自:Etherscan)
接着攻击者结合了另一款名为“闪贷”(flash loan)的 DeFi 产品,向 Beanstalk 平台发起了可在极短时间内(几分钟、甚至数秒)借入大量加密货币的行动。
原本 flash loan 旨在提供利用流动性的价格套利机会,但最新攻击已经无情地表明它也可被用于更邪恶的黑客攻击目的。
DAO 项目被阴霾深深笼罩(via Kraken)
区块链安全公司 CertiK 分析指出,Beanstalk 攻击者利用了名为 Aave 的 DeFi 协议、以借入近 10 亿美元的加密货币资产。然后将其转换为足够的 bean,以获得该项目 67% 的投票权。
凭借这一绝对多数的投票权,他们得以批准执行将资产转移到自己钱包的代码、同时立即偿还闪贷,最终获得 8000 万美元的净利润、而整个攻击过程甚至不到 13 秒。
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK