Il protocollo stablecoin basato su crediti Beanstalk Farms ha perso tutto il suo collaterale per un valore di $182 milioni per via di una falla del sistema di sicurezza. L’attacco è stato sferrato per mezzo di due proposte di governance fraudolente e un attacco flash loan.
Il problema per il protocollo è stato innescato da due proposte di governance sospette BIP-18 e BIP-19 inoltrate il 16 aprile dall’assalitore che ha chiesto al protocollo una donazione in favore dell’Ucraina. Un rider malevolo all’interno delle due proposte ha creato il sinkhole dei fondi del protocollo secondo quanto evidenziato dall’analista di smart contract BlockSec.
Con questa violazione di un protocollo di finanza decentralizzata il ladro ha sottratto $1 miliardo con dei flash loan dal protocollo di AAVE (AAVE) convertiti nelle stablecoin DAI (DAI), USD Coin (USDC) e Tether (USDT). Quindi sono stati usati questi fondi per accumulare sufficiente potere contrattuale per controllare oltre il 67% della governance del protocollo e approvare la propria proposta.
Un flash loan deve essere eseguito e ripagato in un singolo blocco, di solito fa riferimento a più smart contract alla volta per essere completato. Questo sistema è già stato usato in passato per derubare altri protocolli.
Nel caso di Beanstalk Farms non si è trattato di un vero e proprio hack, dato che smart contracts e procedura di governance hanno funzionato esattamente come progettati. Sono state invece sfruttate delle debolezze nella loro progettazione, come confermato da uno dei portavoce della compagnia “Publius”:
“It’s unfortunate that the same governance procedure that put beanstalk in a position to succeed was ultimately its undoing.”
La compagnia di analisi per la sicurezza della blockchain PeckShield ha avvertito il team di Beanstalk su Twitter alle 12:41pm UTC del 17 aprile che qualcosa stava andando storto. Ma a quel punto era troppo tardi per intervenire.
L’intero valore bloccato del protocollo, il TVL da 182 milioni di dollari è stato sottratto insieme a circa 80 milioni tra Ether (ETH) e Beans (BEAN). BEAN in questo momento ha subito una perdita del 83% ed è scambiato a $0,17 secondo CoinGecko ma è crollato a $0,06 quando è avvenuto l’attacco.
Dopo aver convertito i BEAN in ETH il ladro ha mandato le coin a Tornado Cash per rimuovere le tracce della transazione originale.