Il progetto di criptovaluta Beanstalk è stato derubato dopo che gli hacker hanno votato per inviarsi $ 182 milioni

Domenica, un aggressore è riuscito a drenare circa 182 milioni di dollari di criptovaluta da Beanstalk Farms, un progetto di finanza decentralizzata (DeFi) volto a bilanciare l’offerta e la domanda di diversi asset di criptovaluta. In particolare, l’attacco ha sfruttato il sistema di governance del voto di maggioranza di Beanstalk, una caratteristica fondamentale di molti protocolli DeFi.

L’attacco è stato avvistato domenica mattina dalla società di analisi blockchain PeckShield, che ha stimato che l’utile netto per l’hacker fosse di circa $ 80 milioni dei fondi totali rubati, meno alcuni dei fondi presi in prestito necessari per eseguire l’attacco.

Beanstalk ha ammesso l’attacco in un tweet poco dopodicendo che stavano “indagando sull’attacco e faranno un annuncio alla comunità il prima possibile”.

Beanstalk si descrive come un “protocollo stablecoin basato sul credito decentralizzato”. Gestisce un sistema in cui i partecipanti guadagnano premi contribuendo con fondi a un pool di finanziamento centrale (chiamato “il silo”) che viene utilizzato per bilanciare il valore di un token (noto come “bean”) vicino a $ 1.

Come molti altri progetti DeFi, i creatori di Beanstalk, un team di sviluppo chiamato Publius, includevano un meccanismo di governance in cui i partecipanti potevano votare collettivamente sulle modifiche al codice. Avrebbero quindi ottenuto i diritti di voto in proporzione al valore dei token che detenevano, creando una vulnerabilità che si sarebbe rivelata la rovina del progetto.

L’attacco è stato reso possibile da un altro prodotto DeFi chiamato “prestito flash”, che consente agli utenti di prendere in prestito grandi quantità di criptovaluta per periodi di tempo molto brevi (minuti o addirittura secondi). I prestiti flash hanno lo scopo di fornire liquidità o sfruttare opportunità di arbitraggio sui prezzi, ma possono anche essere utilizzati per scopi più nefasti.

Secondo l’analisi della società di sicurezza blockchain CertiK, l’attaccante Beanstalk ha utilizzato un prestito flash ottenuto tramite il protocollo decentralizzato Aave per prendere in prestito quasi 1 miliardo di dollari in asset di criptovaluta e scambiarli con un numero sufficiente di fagioli per ottenere una quota di voto del 67% nel progetto. Con questa partecipazione a maggioranza assoluta, sono stati in grado di approvare l’esecuzione del codice che ha trasferito gli asset al proprio portafoglio. L’attaccante ha quindi immediatamente rimborsato il prestito flash, ottenendo un profitto di $ 80 milioni.

In base alla durata di un prestito flash Aave, l’intero processo si è svolto in meno di 13 secondi.

“Stiamo assistendo a una tendenza crescente negli attacchi di prestito flash quest’anno”, ha affermato Ronghui Gu, CEO e co-fondatore di CertiK. “Questi attacchi enfatizzano ulteriormente l’importanza di un audit di sicurezza e vengono anche informati sulle insidie ​​dei problemi di sicurezza durante la scrittura di codice Web3”.

Se implementati correttamente, i servizi DeFi beneficiano di tutta la sicurezza della blockchain, ma la loro complessità può rendere il codice difficile da controllare completamente, rendendo tali progetti un bersaglio attraente per gli hacker. Nel caso dell’hack Beanstalk, il team di Publius ha ammesso di non aver incluso alcuna disposizione per mitigare la possibilità di un attacco di prestito flash, anche se presumibilmente ciò non era evidente fino a quando la situazione non si è verificata.

Una richiesta di commento (inviata al team di Publius tramite Discord) non ha ancora ricevuto risposta al momento della stampa.

Brian Pasfield, CTO della piattaforma di prestito di criptovalute Fringe Finance, ha affermato che anche le strutture di governance decentralizzate (note come DAO) potrebbero creare problemi.

“La governance DAO è attualmente di tendenza nella DeFi”, ha affermato Pasfield. “Sebbene sia un passaggio necessario nel processo di decentramento, dovrebbe essere fatto gradualmente e con tutti i possibili rischi attentamente ponderati. Gli sviluppatori e gli amministratori dovrebbero essere consapevoli dei nuovi punti di errore che possono essere creati da sviluppatori o membri DAO intenzionalmente o per caso”.

Per gli investitori in Beanstalk che hanno perso le loro monete puntate, potrebbero esserci poche possibilità di ricorso. In un messaggio pubblicato subito dopo l’hacking, i fondatori di Beanstalk hanno scritto che era “altamente improbabile” che il progetto avrebbe ricevuto un salvataggio poiché non era stato sviluppato con il supporto di VC, aggiungendo “siamo fottuti”.

Nel server Discord del progetto, molti utenti affermano di aver perso decine di migliaia di dollari di criptovaluta investita. Dall’attacco, l’hacker è stato spostare fondi tramite Tornado Cash, un servizio di mixer incentrato sulla privacy che è diventato un passo avanti nel riciclaggio di fondi di criptovaluta rubati. Con gran parte del denaro rubato ora oscurato, è improbabile che venga rintracciato e restituito.

Sulla scia dell’attacco, il valore della stablecoin BEAN è crollato, rompendo il peg di $ 1 e scambiando per circa 14 centesimi lunedì pomeriggio.

Add Comment