Hacker rouba US$ 182 milhões e ‘mata’ projeto de stablecoin descentralizada

Falha grave na BeanStalk permitiu ao invasor explorar empréstimo instantâneo milionário e ainda doar uma parte à Ucrânia

Wagner Riggs

18 abr, 2022 13:44

Hacker, DeFi, BeanStalk, BEAN, blockchain, contratos inteligentes, smart contracts

Um hacker conseguiu explorar uma falha no protocolo da stablecoin Beanstalk (BEAN) e realizar um empréstimo relâmpago para roubar US$ 182 milhões em criptomoedas. Devido à ação, que ocorreu no domingo (17), a criptomoeda perdeu 83% de seu valor. O caso foi relatado pela empresa de segurança PeckShield no Twitter e confirmado pela equipe da Bean no mesmo dia.

“O protocolo Beanstalk sofreu um ataque de empréstimo instantâneo devido a uma falha em seus recém-introduzidos Curve LP Silos que comprometeu o mecanismo de governança, permitindo que o invasor conduzisse uma execução emergencial de uma proposta maliciosa desviando fundos do projeto”, comunicou a equipe em um post-mortem no Medium.

Conforme explica, o empréstimo relâmpago foi feito na plataforma Aave e permitiu ao invasor acumular uma grande quantidade de tokens stalk (token de governança da Bean) suficientes para criar e aprovar um contrato inteligente malicioso.

“O invasor conseguiu aprovar rapidamente uma proposta de governança maliciosa que drenou todos os fundos do protocolo para uma carteira privada da Ethereum”, explica a nota, acrescentando que a falha grave foi a Beanstalk não ter usado uma medida de resistência a empréstimos instantâneos para determinar uma porcentagem de stalks.

Gráfico mostra queda de mais de 80% da BEAN (Fonte: Coingecko)

Outro ponto crucial, segundo a equipe, é que a auditoria dos contratos inteligentes — feita pela empresa de segurança blockchain Omnicia — foi concluída antes da introdução da vulnerabilidade do empréstimo flash da Beanstalk.

Sobre a falha, a equipe escreveu: “Daqui para frente, garantiremos aos nossos clientes que as atualizações devem sempre ser totalmente auditadas e comunicadas à Omniscia antes da implantação”.

A PeckShield fez uma atualização sobre ocaso nesta segunda-feira (18).

The @BeanstalkFarms protocol loss is ~$182m and the hacker nets $80m. The rest $100m goes to various protocols as fees to pay flashloan and swap. Should these protocols (incl. @AaveAave @SushiSwap @CurveFinance @Uniswap @BeanstalkFarms) return these fees back to @BeanstalkFarms?
— PeckShield Inc. (@peckshield) April 18, 2022

Hacker doou parte para Ucrânia

Uma análise PeckShield, feita também no domingo, revelou o andamento dos fundos roubados. Após a ação, o hacker fez uma doação de 250 mil de USD Coins (USDC) para uma carteira de caridade da Ucrânia, descrita como ‘Ukraine Crypt Donation’.

Segundo a PeckShield, a maior parte do roubo foi enviada para uma carteira Tornado Cash, que por sua vez é considerada um mixer de criptomoedas.

4/ The initial funds to launch the hack are withdrawn from @SynapseProtocol and most of the result gains are deposited to @TornadoCash. Currently 15,154 ETH still stays in the hacker’s account. Note the hacker donates 250k USDC to Ukraine Crypto Donation. pic.twitter.com/jBjUJ0JbGj
— PeckShield Inc. (@peckshield) April 17, 2022

Ataques hacker a DeFis

No início deste mês, uma brecha no banco de dados da Inverse Finance (INV), protocolo de código aberto com foco em empréstimos de criptomoedas, permitiu a um hacker a manipulação de preço e empréstimos milionários. O resultado foi um roubo de US$ 15,6 milhões.

Em março, o Ronin Blockchain da Axie Infinity foi explorado por US$ 622 milhões em um ataque que autoridades dos EUA vincularam à Coreia do Norte.