Dự án stablecoin Beanstalk Farms được cho là đã bị kẻ xấu xâm nhập, bòn rút số tiền mã hóa trị giá hơn 182 triệu USD.
Tối ngày 17/04, đơn vị bảo mật Peckshield đưa tin rằng Beanstalk Farms (BEAN), nền tảng stablecoin phi tập trung dựa trên tín dụng, đã bị tấn công. Hacker sau đó đã rút về hơn 80 triệu USD, gồm 24.830 ETH trị giá gần 76 triệu USD và 36 triệu stablecoin BEAN, trị giá khoảng 3,6 triệu USD. Số tiền thực tế có thể còn cao hơn, khi chưa thống kê được hết quy mô của vụ việc.
2/ The hack is made possible due to the flashloan-assisted (immediate) pass of BIP18, which was submitted one day ago (https://t.co/4TocPkMna0). The BIP18 leads to the crafted code execution with the governance privilege to drain the pool fund. pic.twitter.com/qLYk7jhTCG
— PeckShield Inc. (@peckshield) April 17, 2022
Theo nhà nghiên cứu Igor Igamberdiev của trang The Block, hacker đã rút cạn toàn bộ quỹ 182 triệu USD từ Beanstalk, song chỉ có thể lấy đi tiền dưới dạng ETH sau khi đã chi trả các khoản vay flash loan cho nhiều giao thức khác nhau. Giá stablecoin BEAN sau đó đã sập đổ về gần bằng 0 khi quỹ của dự án bị vét trọn.
2/5
The main protocol contract has been completely emptied.
User funds have been withdrawn:
– 36M BEAN ($36M)
– 0.54 ETH-BEAN UNI-v2 LP tokens ($33M in ETH and $32M in BEAN)
– 79.2M BEAN3CRV-f Curve LP tokens ($79.2M?)
– 1.6M BEAN-LUSD Curve LP tokens ($1.6M?) pic.twitter.com/mdnr9rCDbm— Igor Igamberdiev (@FrankResearcher) April 17, 2022
Tính đến thời điểm thực hiện bài viết, Beanstalk Farms vẫn chưa đưa tuyên bố chính thức về những gì đã xảy ra. Vào ngày 16/04, trang Twitter của dự án cho biết nền tảng này đang nắm giữ hơn 150 triệu USD giá trị khóa lại (TVL).
The Beanstalk Farms team is both thrilled and humbled by the crypto community’s recent interest in Beanstalk.
There’s much more work to do to prepare the protocol for the next million users, but we want to take a moment to soak in this milestone.
$150M+ TVL! pic.twitter.com/7TxgsDPhos
— Beanstalk Farms (@BeanstalkFarms) April 16, 2022
Một số người dùng phát hiện hacker đã bắt đầu rửa tiền thông qua máy trộn Tornado Cash với tốc độ vô cùng nhanh. Nhiều người còn “đùa vui” rằng kẻ tấn công hẳn đang rất vội vì không muốn địa chỉ ví của mình bị đưa vào danh sách đen như hacker Ronin mới đây.
quickly my boy, before chainanalysis blacklists you! pic.twitter.com/cgMHjw2bs9
— 찌 G oblin 跻 じ ( ??????, ?????? ) (@DegenSpartan) April 17, 2022
Chưa dừng lại ở đó, hacker có vẻ như còn chuyển 250.000 USDC đến địa chỉ quyên góp của chính quyền Ukraine.
#PeckShieldAlert ~250k $USDC (~$250k) into @Ukraine Crypto Donation from @BeanstalkFarms exploiters https://t.co/9jwMfeZpQ4 pic.twitter.com/3gg2Xda5Cm
— PeckShieldAlert (@PeckShieldAlert) April 17, 2022
Theo Etherscan, cách thức kẻ tấn công đã lợi dụng là flash loan, tính năng “vay nóng” tiền trên các giao thức DeFi để có được một lượng thanh khoản dồi dào với điều kiện phải hoàn trả khoản vay trong cùng một block giao dịch. Mặt khác, nó mở ra cơ hội để kẻ xấu lợi dụng để bòn rút tiền từ các dự án có lỗ hổng smart contract.
Đáng chú ý, Beanstalk mới thực hiện đề xuất BIP18 nhằm tích hợp tính năng flash loan vào nền tảng của họ vào hôm 16/04.
Trong tháng 03/2022, đã có đến 3 dự án DeFi bị hacker tấn công theo phương thức flash loan, thất thoát số tiền hơn 14 triệu USD. Song, vụ tấn công flash loan “kinh hoàng” nhất trong lịch sử là Cream Finance vào tháng 10/2021, với thiệt hại 130 triệu USD.
Coin68 tổng hợp
Có thể bạn quan tâm:
