Anfang dieser Woche erlitt das auf Ethereum basierende Stablecoin-Projekt Beanstalk Farms Verluste in Höhe von insgesamt 182 Millionen US-Dollar, nachdem es einem Governance-Exploit zum Opfer gefallen war. Dies ist das zweite DeFi-Protokoll, das seit Anfang dieses Monats eine Sicherheitslücke aufweist. Die Angreifer entzogen Beanstalk Farms alle seine Sicherheiten und der Preis des Tokens fiel bald darauf. Die Stablecoin BEAN verlor etwa 86 % ihres Wertes, der ursprünglich bei 1 $ lag.
Wie kam es zum Angriff?
Hinter der Verletzung steckten zwei verdächtige Governance-Vorschläge sowie ein Flash-Loan-Angriff. Flash-Darlehen sind eine neue Form der Kreditvergabe, die Smart Contracts nutzt, um unbesicherte Kredite zu ermöglichen. Das Besondere an diesem System ist die Tatsache, dass der Austausch innerhalb eines einzigen Blocks abgeschlossen werden muss.
Der Beanstalk-Hacker nahm um 12:24 Uhr UTC einen Kredit in Höhe von 1 Mrd. USD von der Ethereum-basierten Kreditplattform AAVE auf. Mit diesen Mitteln konnten sie eine große Menge des nativen Governance-Tokens von Beanstalk Farms erhalten. Dieser Schritt verschaffte ihnen die Kontrolle über etwa 67 % der Governance des Projekts.
Anschließend konnten sie die 2 von ihnen erstellten böswilligen Vorschläge genehmigen. Nämlich die BIP-18 und BIP-19, diese Vorschläge schienen relativ unschuldig und forderten Spenden für die Ukraine in ihrem andauernden Krieg. Nach der Genehmigung leitete der Angreifer dann die Sicherheiten in eine externe Brieftasche ab.
Das Flash-Darlehen umfasste USD Coin (USDC), Dai (DAI) und Tether (USDT) Stablecoins. In einem Twitter-Bericht über den Exploit hat das Blockchain-Sicherheitsunternehmen PeckShield die Beute des Angreifers aufgeschlüsselt. Sie konnten 24.830 native Ethereum-Token (ETH) zusätzlich zu 36 Mio. Bean (BEAN) stehlen.
Die Sicherheitsfirma bemerkte den Angriff und alarmierte Beanstalk. Sie wiesen auch darauf hin, dass der Angreifer 250.000 USDC an eine Wallet-Adresse geschickt hatte, die Hilfsgelder aus der Ukraine erhielt.
Die Antwort des Beanstalk-Teams
Nach dem Angriff twitterte Beanstalk seine Bestätigung, dass bereits eine Untersuchung im Gange sei und eine offizielle Ankündigung bevorstehe. Sie teilten später mit, dass sie daran arbeiteten, nach dem Exploit voranzukommen.
Beanstalk suffered an exploit today.
The Beanstalk Farms team is investigating the attack and will make an announcement to the community as soon as possible.
— Beanstalk Farms (@BeanstalkFarms) April 17, 2022
Das Team hat es abgelehnt, zu bestätigen, ob Benutzer eine Rückerstattung erhalten, Publius, einer der Projektleiter, teilte weitere Informationen auf Discord mit. The Beanstalk ist technisch gesehen kein Hack, da der Angreifer bestimmte Öffnungen im System ausgenutzt hat, die wie erwartet funktionierten.
Publius erkannte und beklagte dies und wies auch darauf hin, dass dies zum Scheitern des Projekts führen könnte. Beanstalk genießt keine Unterstützung von Risikokapitalgebern und hat daher keine Rettungsaktion in Sicht. Weitere Informationen zur Erstattung werden während einer für Sonntag angesetzten Rathausveranstaltung veröffentlicht.
Die Entwickler wurden seitdem doxiert, nämlich Benjamin Weintraub, Brendan Sanderson und Michael Montoya. Montoya teilte der Projektgemeinschaft mit, dass sie das FBI kontaktiert hatten und ihre Ermittlungsbemühungen mit vollständiger Zusammenarbeit unterstützen würden.
Interessanterweise hat sich das Team im Angriff für schuldlos erklärt. Dies löste einen Aufruhr in der Community aus, wobei Publius argumentierte, dass es unangemessen sei, von ihnen zu erwarten, dass sie Verantwortung übernehmen. Der Sprecher erklärte, dass das Team nicht zur Rechenschaft gezogen werden könne.
Beanstalk Farms war ein Open-Source-Protokoll, das das Team nicht als Geschäft verwaltete, sagte er. Wie bereits erwähnt, ist dies eine weitere Ergänzung zu einer Reihe von Angriffen auf DeFi-Protokolle in letzter Zeit. Es ist interessant festzustellen, dass Flash-Darlehen in letzter Zeit als Werkzeug für Hacker zur Durchführung von Exploits noch beliebter geworden sind.