close

區塊鏈分析公司Peck Shield 於週日上午發布警告稱,一名攻擊者設法從Beanstalk Farms 中提取了價值約1.82 億美元的加密貨幣。據悉,作為一個旨在平衡不同加密貨幣資產供需的去中心化金融(DeFi)項目,攻擊者利用了Beanstalk 的“多數投票治理系統”,這也是諸多DeFi 協議的核心功能。

攻擊者利用DeFi投票漏洞捲走Beanstalk近1.82億美元加密貨幣

扣去執行攻擊所需注入的一些資金,預計黑客的“淨利潤”在8000 萬美元左右。不久後,Beanstalk 在一條推文中證實了這輪攻擊,並聲稱會在調查後儘快向社區發佈公告。

Beanstalk 自詡為“就與分佈式信用的穩定幣協議”、且運行著一套協議。參與者通過向中央資金池(筒倉/ silo)注入資金而獲得獎勵,而該資金池會藉助bean 代幣實現幣值的平衡(約1:1 美元)。

攻擊者利用DeFi投票漏洞捲走Beanstalk近1.82億美元加密貨幣

與許多其他DeFi 項目一樣,Beanstalk 的創建者(Publius 開發團隊)引入了一套治理機制,以允許參與者對代碼更改進行集體投票。

然後他們將獲得與其持有的代幣價值成比例的投票權,但這也產生了一個明顯易被別有用心的攻擊者所濫用的漏洞。

攻擊者利用DeFi投票漏洞捲走Beanstalk近1.82億美元加密貨幣

截圖(來自:Etherscan)

接著攻擊者結合了另一款名為“閃貸”(flash loan)的DeFi 產品,向Beanstalk 平台發起了可在極短時間內(幾分鐘、甚至數秒)借入大量加密貨幣的行動。

原本flash loan 旨在提供利用流動性的價格套利機會,但最新攻擊已經無情地表明它也可被用於更邪惡的黑客攻擊目的。

攻擊者利用DeFi投票漏洞捲走Beanstalk近1.82億美元加密貨幣

DAO 項目被陰霾深深籠罩(via Kraken)

區塊鏈安全公司CertiK 分析指出,Beanstalk 攻擊者利用了名為Aave 的DeFi 協議、以藉入近10 億美元的加密貨幣資產。然後將其轉換為足夠的bean,以獲得該項目67% 的投票權。

憑藉這一絕對多數的投票權,他們得以批准執行將資產轉移到自己錢包的代碼、同時立即償還閃貸,最終獲得8000 萬美元的淨利潤、而整個攻擊過程甚至不到13 秒。

 

來源

 

友站推薦,「借錢」服務 「私人小額借款」找安貸,「線上借貸」安全快速沒煩惱 「快速借錢」首選 「安貸 

arrow
arrow
    文章標籤
    安貸
    全站熱搜
    創作者介紹
    創作者 JAN 的頭像
    JAN

    JAN的部落格

    JAN 發表在 痞客邦 留言(0) 人氣()