Merkezi olmayan, kredi tabanlı finans sistemi Beanstalk, Pazar günü açıklanan, 182 milyon dolarlık finansal kayıplarla sonuçlanan bir güvenlik ihlali yaşadığı, saldırgan kripto varlıklarında 80 milyon dolar çalıyor.
Bu saldırının bir sonucu olarak, Beanstalk'ın pazarına güven tehlikeye girdi ve merkezi olmayan kredi tabanlı bean stablecoinin değeri, şu anda Pazar günü 1 dolardan 0,11 ABD Doları'na kadar azalttı.
Saldırgan kanalının, saldırganın AEVE, likidite protokolü üzerinde bir flaş kredisi aldığı ve oy kullanma gücünü kötü niyetli bir teklifi geçmek için büyük miktarda tutulmasını kullandıkları için adil görülmemiş finansal (defi) platformu.
Omniscia'daki Akıllı Sözleşme Denetçileri ve Geliştiricilerden Saldırının Mortem Sonrası Analizi, Hacker'ın varlıkları kötü amaçlı bir teklifle çalmayı başardığını açıklar:
[...] Beanstalk protokolü, protokolün yönetişim mekanizmasını tehlikeye atan yeni tanıtılan eğri LP silolarındaki bir kusurdan dolayı bir flaş kredisi saldırısı yaşadı, sonuçta saldırganın kötü niyetli bir teklifi sifonlu proje fonlarının acil bir şekilde yürütülmesine izin vermesine izin verdi.
Temel olarak, saldırganın, protokolün fonlarını bir örnekte, eylem lehine oy kullanma yetkisine sahip özel bir ethereum cüzdanına boşaltmalarını sağlamıştır.
Bir flaş kredisi, kullanıcıların bir teminat (teminatsız) sunmadan diğer tüccarlardan büyük miktarda stablecoin ve bir krediyi onaylama ve geri dönme sürecini saniyeler içinde bir teminatta tek bir işlemde gerçekleştirmelerini sağlar.
Bazı bilgisayar korsanları, bu kısa sürede sömürülebilir çeşitli defi platformlarında güvenlik açıkları belirlediler, flaş kredisinin onayından hemen sonra kötü amaçlı eylemler yapıyor.
Defi platformları, merkezi olmayan fiyat oracles ve diğer koruma sistemlerini kullanarak bu tehditlere karşı savunur, ancak hepsi sağlam bir savunma oluşturmamıştır.
Beanstalk'a yapılan saldırı, saldırıyı başarılı bir şekilde yapılan başarısızlık olan başarısızlık noktasıydı.
"Exploit tezahürüne yol açan çekirdek hata, projenin silo sistemi için iki yeni LP varlığının [Bean3Crv-F ve BeanLUSD-F] 'nin Silo sistemi için (LP ünitelerini temsil ettiği gibi) ve bunların fasulyesini oluşturabileceğidir. -Denominal değer (BDV) hesaplaması, Uniswap LP BDV Hesaplayıcısının aksine flaş kredisi tarafından etkilenmeden kaldı "
Beanstalk, planlarını ileriye doğru hareket ettirmedi, bu yüzden yatırımcıların geri ödenmesi belirsiz bir eylem olmaya devam ediyor.
"Teknik olmayan piyasa katılımcılarını teknik denetimlerin durumu, kapsamı ve kısıtlamaları hakkında eğitme ve bilgilendirme ihtiyacı olduğuna inanıyoruz. Ekibimiz şu anda denetimleri demlikten amaçlayan birden fazla girişim üzerinde çalışıyor", "analizi okur.
Platform hala olayı araştırıyor ve açıkça defi topluluğu olarak adlandırdı ve ellerinden geleni kurtarmalarına yardımcı olmak için Analytics uzmanlarını engelledi. Aynı zamanda, sömürücüyü de pazarlık etmeye davet etmiştir.
İlerlemeyi denemek için her türlü çabayı gösteriyoruz. Merkezi olmayan bir proje olarak, Defi Topluluğundan ve zincir analitikteki uzmanlardan, sömürücünün fonları cekseler yoluyla para çekme yeteneğini sınırlamamıza yardımcı olmak için. Açıklayıcı bir tartışmaya açıksa, biz de öyleyiz. https://t.co/fwcevz6hbi
İlginç bir şekilde, PeckShield Blockchain Analytics, Hacker'ın Ukrayna'ya çalınan miktarın 250.000 dolar bağışta bulunduğunu bildirdi.
Analistler, hacker'ın ayrıca Tornado Nakit Para Karıştırma Servisi'nin izlerini gizlediğini not eder.
Geçen hafta bir zincirsellik raporu, Defi platformlarının 2022'de kripto hunistlerin birincil odağı olduğunu ve beanstalk olayı bu eğilimin bir başka onayı olduğunu göstermektedir.
Tipik olarak, bu hackler bir güvenlik ihlali veya koddaki bir istismar ile ortaya çıkar, bu nedenle flaş kredisi saldırılarının daha az sıklıkta olması muhtemeldir.
Cryptocurrency Defi platformları şimdi her zamankinden daha hedefli
ABD, kötü niyetli kriptoCurrency uygulamalarını kullanarak Lazarus Hacker'larını uyardı
Hacker'lar, ICloud Yedeklemesinden Metamask tohumu aldıktan sonra 655 $ $ çalıyor
İnstagram'ın karanlık tarafı: Cinsel tacizciler, kripto dolandırıcılar, id hırsızları
Nitible NFT pazarında kusur kripto varlıklarının hırsızlığına izin verdi
Kaynak: Bleeping Computer