Um hacker conseguiu explorar uma falha no protocolo da stablecoin Beanstalk (BEAN) e realizar um empréstimo relâmpago para roubar US$ 182 milhões em criptomoedas. Devido à ação, que ocorreu no domingo (17), a criptomoeda perdeu 83% de seu valor. O caso foi relatado pela empresa de segurança PeckShield no Twitter e confirmado pela equipe da Bean no mesmo dia.
“O protocolo Beanstalk sofreu um ataque de empréstimo instantâneo devido a uma falha em seus recém-introduzidos Curve LP Silos que comprometeu o mecanismo de governança, permitindo que o invasor conduzisse uma execução emergencial de uma proposta maliciosa desviando fundos do projeto”, comunicou a equipe em um post-mortem no Medium.
Conforme explica, o empréstimo relâmpago foi feito na plataforma Aave e permitiu ao invasor acumular uma grande quantidade de tokens stalk (token de governança da Bean) suficientes para criar e aprovar um contrato inteligente malicioso.
“O invasor conseguiu aprovar rapidamente uma proposta de governança maliciosa que drenou todos os fundos do protocolo para uma carteira privada da Ethereum”, explica a nota, acrescentando que a falha grave foi a Beanstalk não ter usado uma medida de resistência a empréstimos instantâneos para determinar uma porcentagem de stalks.
Outro ponto crucial, segundo a equipe, é que a auditoria dos contratos inteligentes — feita pela empresa de segurança blockchain Omnicia — foi concluída antes da introdução da vulnerabilidade do empréstimo flash da Beanstalk.
Sobre a falha, a equipe escreveu: “Daqui para frente, garantiremos aos nossos clientes que as atualizações devem sempre ser totalmente auditadas e comunicadas à Omniscia antes da implantação”.
Leia Também
A PeckShield fez uma atualização sobre ocaso nesta segunda-feira (18).
Hacker doou parte para Ucrânia
Uma análise PeckShield, feita também no domingo, revelou o andamento dos fundos roubados. Após a ação, o hacker fez uma doação de 250 mil de USD Coins (USDC) para uma carteira de caridade da Ucrânia, descrita como ‘Ukraine Crypt Donation’.
Segundo a PeckShield, a maior parte do roubo foi enviada para uma carteira Tornado Cash, que por sua vez é considerada um mixer de criptomoedas.
Ataques hacker a DeFis
No início deste mês, uma brecha no banco de dados da Inverse Finance (INV), protocolo de código aberto com foco em empréstimos de criptomoedas, permitiu a um hacker a manipulação de preço e empréstimos milionários. O resultado foi um roubo de US$ 15,6 milhões.
Em março, o Ronin Blockchain da Axie Infinity foi explorado por US$ 622 milhões em um ataque que autoridades dos EUA vincularam à Coreia do Norte.
