- Les mises à niveau du protocole Beanstalk étaient prises en charge via le processus de gouvernance de la proposition d'amélioration Beanstalk (BIP) et, par conséquent, une mise à niveau pouvait exécuter du code arbitraire, permettant à l'attaquant de récupérer son argent verrouillé dans le cadre de sa mise à jour malveillante. Omniscia a écrit ce qui suit.
- Le coupable, selon Omniscia, était un problème de gouvernance sujet au crédit flash, qui a permis à un attaquant de proposer puis de mettre en œuvre une proposition de gouvernance hostile qui a effectivement transféré tous les actifs du protocole vers le portefeuille de l'attaquant.
- L'organisation a annoncé le piratage sur Twitter dimanche et cherche maintenant une solution. Beanstalk avait récemment franchi une étape importante, ayant généré 100 millions de dollars en jetons BEAN.
Beanstalk Farms, surnommée une plate-forme stable basée sur les prêts décentralisés, a été piratée pour environ 180 millions de dollars de pertes sur papier dimanche, la dernière brèche DeFi de l'année. Il s'agit du sixième plus grand exploit de journal du classement rect, et du deuxième plus important cette année, après la gigantesque attaque du pont Ronin en mars. PeckShield, une société de sécurité, a été la première à dévoiler l'histoire. La majorité de l'argent volé est de l'éther, que l'attaquant a rapidement mis dans le protocole de confidentialité de Tornado Cash pour cacher l'origine des jetons, similaire au piratage de Ronin.
Système innovant d'incitations financières
L'organisation a annoncé le piratage sur Twitter dimanche et cherche maintenant une solution. Beanstalk avait récemment franchi une étape importante, ayant généré 100 millions de dollars en jetons BEAN. Beanstalk a été conçu pour être indexé sur le dollar américain, mais contrairement aux pièces stables adossées à des garanties fiduciaires ou cryptographiques, il a utilisé un système innovant d'incitations financières pour conserver son ancrage, en s'appuyant sur des prêts plutôt que sur une sur-garantie. Papier de couleur blanche.
Le protocole a été audité par les experts en sécurité de la blockchain Omniscia, mais la société a indiqué dans une analyse post-mortem que le code de production affecté par la vulnérabilité n'était pas le même que celui qu'ils avaient vérifié. Lors d'une réunion municipale en direct dimanche, les développeurs ont réfuté cette affirmation.
LIRE AUSSI - Le fondateur de Silk Road, Ross Ulbricht, renoncera à 3 milliards de dollars de BTC au gouvernement américain
Une proposition de gouvernance hostile
Nous ne sommes pas là pour lancer des doigts, a expliqué le développeur principal, mais nous avons examiné le rapport qu'ils ont publié et n'avons pas pensé qu'il s'agissait d'une véritable description de ce qui s'était passé. Le coupable, selon Omniscia, était un problème de gouvernance sujet au crédit flash, qui a permis à un attaquant de proposer puis de mettre en œuvre une proposition de gouvernance hostile qui a effectivement transféré tous les actifs du protocole vers le portefeuille de l'attaquant.
L'astuce consistait à utiliser un prêt flash géant - emprunter de grosses sommes qui devaient être remboursées en une seule transaction - au lieu de passer par le cycle de vie normal de la proposition de gouvernance. En utilisant 1.04 milliard de dollars en stablecoins empruntés, l'attaquant a brièvement obtenu la super-majorité des privilèges de vote du protocole, permettant l'exécution rapide de code malveillant. Les mises à niveau du protocole Beanstalk étaient prises en charge via le processus de gouvernance de la proposition d'amélioration Beanstalk (BIP) et, par conséquent, une mise à niveau pouvait exécuter du code arbitraire, permettant à l'attaquant de récupérer son argent verrouillé dans le cadre de sa mise à jour malveillante. Omniscia a écrit ce qui suit.
Source : https://www.thecoinrepublic.com/2022/04/24/the-beanstalk-of-the-algo-stablecoin-network-has-been-dramatically-cut-due-to-such-a-governing- reprendre/