Cuộc tấn công lợi dụng hình thức Flash Loan này đã trở thành vụ cướp thứ hai trên nền tảng DeFi trong vòng một tháng.
Vào hôm Chủ nhật (17/4), Beanstalk Farms, một giao thức stablecoin dựa trên Ethereum, đã bị đánh cắp 182 triệu đô.
Cuộc tấn công được thông báo trên Twitter bởi công ty bảo mật Blockchain PeckShield. Họ nói rằng kẻ tấn công đã trốn thoát với ít nhất 80 triệu đô tiền mã hóa, mặc dù tổn thất của nền tảng này lớn hơn nhiều.
Sau cuộc tấn công này, thị trường stablecoin BEAN của Beanstalk đã sụp đổ. Theo CoinGecko, tính tới thời điểm hiện tại, token này đã giảm 86% so với giá 1 đô trước đó.
1/ The @BeanstalkFarms was exploited in a flurry of txs (https://t.co/PMsdP5dnJG and https://t.co/wyHe3ARZgU),
leading to the gain of $80+M for the hacker (The protocol loss may be larger), including 24,830 ETH and 36M BEAN.— PeckShield Inc. (@peckshield) April 17, 2022
Beanstalk đã tóm tắt lại vụ tấn công này trong một bài đăng trên Discord. Theo đó, kẻ tấn công đã lợi dụng Flash loan trên nền tảng cho vay Aave, điều này giúp chúng tích lũy được một lượng lớn token gốc được quản trị của Beanstalk, Stalk. Với quyền biểu quyết từ những token Stalk này, kẻ tấn công đã có thể nhanh chóng thông qua một đề xuất quản trị rút hết tiền vào một ví Ethereum riêng.
Những người đứng đầu dự án này viết trong bài tóm tắt rằng: “Beanstalk đã không sử dụng các biện pháp chống lại Flash Loan để xác định phần trăm Stalk đã ủng hộ cho BIP. Đây là lỗi mà cho phép kẻ tấn công có thể khai thác Beanstalk”.
Các Hợp đồng thông minh của Beanstalk được kiểm tra bởi công ty bảo mật Blockchain Omnicia. Tuy nhiên, việc kiểm tra đã hoàn thành trước khi xuất hiện lỗ hổng Flash Loan, công ty này nói trong cuộc điều tra vào hôm Chủ nhật (17/4).
Beanstalk từ chối tiết lộ liệu người dùng có được bồi thường hay không, nói rằng họ sẽ đưa ra những thông báo mới trong một sự kiện của tòa thị chính vào Chủ nhật tới.
Theo như PeckShield, kẻ tấn công đã ủng hộ 250 nghìn đô của quỹ đánh cắp vào một ví cứu trợ cho Ukraine.
Đây là vụ tấn công mới nhất trên nền tảng tài chính phi tập trung (DeFi) xảy ra trong những tuần gần đây. Vào hồi tháng 3/2022, nền tảng Blockchain Ronin của Axie Infinity cũng đã bị đánh cắp 625 triệu đô trong một cuộc tấn công mà các quan chức Mỹ đã xác định mối liên hệ với Triều Tiên.
