黑客攻擊事件 算法穩定幣項目Beanstalk Farms被盜損失達1.82億美元_STA:TALK

2022年4月17日，算法穩定幣項目BeanstalkDAO遭受黑客攻擊，損失已達1.82億美元，包括7900多萬BEAN3CRV-f、163萬BEANLUSD-f、3600萬BEAN和0.54個UNI-V2_WETH_BEAN。啟動入侵的初始資金已被撤回至SynapseProtocol，且大部分收益都被存入Tornado.cash。目前，該項目穩定幣BEAN價格已經從約1美元跌至0.136美元，跌幅達86%。

BeanStalk是一個分散的基于信用的穩定幣協議。該協議由三個相互連接的組件組成：去中心化價格預言機、去中心化治理系統和去中心化信貸工具。根據該項目的白皮書介紹，BeanStalk使用動態掛鉤維護機制，定期將1Bean的價格超過其價值掛鉤，而無需集中化或抵押要求。

Beosin：QANplatform跨鏈橋遭受黑客攻擊，涉及金額約189萬美元:10月11日消息，據Beosin EagleEye Web3安全預警與監控平臺監測顯示，QANplatform跨鏈橋項目遭受黑客攻擊。攻擊交易為以下兩筆0xf93047e41433d73ddf983cfa008aeb356ec89803c0a92b0e97ccdc6c42a13f51(bsc),

0x048a1a71fd41102c72427cc1d251f4ecbf70558562564306e919f66fd451fe82(eth)。

Beosin安全團隊分析發現攻擊者首先使用0x68e8198d5b3b3639372358542b92eb997c5c314地址（因為0x68e819是創建跨鏈橋地址，所以該地址應該屬于項目方。）調用跨鏈橋合約中的bridgeWithdraw函數提取QANX代幣，然后把QANX代幣兌換為相應平臺幣。存放在攻擊者地址上（0xF163A6cAB228085935Fa6c088f9Fc242AFD4FB11）。目前被盜資金中還存放在攻擊者地址，Beosin安全團隊將持續跟蹤。Beosin Trace將對被盜資金進行持續追蹤。[2022/10/11 10:31:06]

此次攻擊事件距離AxieInfinity遭到黑客攻擊損失6.25億美元還不到一個月時間，Beanstalk受到了巨大的損失。這次的黑客攻擊或源于前一天通過的BIP18，BIP18導致使用治理特權來抽干資金池的精心設計的代碼來執行，黑客利用了Beanstalk的“投票合約中的票數是根據賬戶中的代幣持有量來得到的”這一閃電貸漏洞完成了這次的攻擊，并將獲利的部分USDC轉入了烏克蘭加密捐贈地址。

Ola Finance：黑客攻擊造成約467萬美元的損失:4月1日消息，Ola Finance今日對昨日黑客攻擊事件發布博客文章，稱此次攻擊事件損失約為467萬美元，具體包括216,964.18 USDC、507,216.68 BUSD、200,000 fUSD、550.45 WETH、26.25 WBTC和1,240,000.00 FUSE。

Ola Finance暫停了所有借貸網絡上的借貸，直到漏洞修復，并建議暫時不要償還貸款。Ola Finance稱將在幾天內宣布受害者賠償計劃。[2022/4/1 14:31:20]

下面ArmorsCompanyLimited來具體分析一下黑客的攻擊過程。

分析 | 3月共發生20起黑客攻擊事件，總損失超1.3億元:據PeckShield態勢感知平臺04月01日數據顯示，過去一個月，共計發生20起黑客攻擊事件，涉及競猜類DApp、交易所等，包含EOS、BTC、ETH、USDT等數十種數字資產，累計總價值131,645,989 元。其中較為重大的為兩起黑客攻擊交易所事件：DragonEX龍網交易所被盜損失超4,000萬元；韓國Bithumb交易所被盜損失近9,000萬元。其余DApp類安全事件共計發生18起，損失70,384個EOS。PeckShield安全人員提醒，近期黑客攻擊事件有逐漸從DApp轉移至交易所的跡象，黑客團伙攻擊也更加猖獗，攻擊所致損失的資金額度和帶來的社會危害都較為重大。同時在此希望廣大區塊鏈生態伙伴，尤其是交易所和DApp開發者應注意加強數字資產保護，做好相應的安全風控舉措，避免給用戶帶來數字資產損失。[2019/4/1]

黑客從攻擊的前一天發起了交易提案，提案通過以后將會從Beanstalk:BeanstalkProtocol合約中提取資金。首先黑客通過閃電貸換取了3.5億個DAI、5億個USDC、1.5億個USDT、3200萬個BEAN和1100萬個LUSD作為資金儲備。再將這些資金在Curve.fi對應交易對的交易池中添加為3Crv流動性代幣，總量達到9.8億個。接著用1500萬個3Crv兌換成LUSD。又將3Crv代幣兌換為BEAN3CRV-f用于投票，把3200萬個BEAN和近2700萬個LUSD添加流動性，這樣就成功得到5900萬個BEANLUSD-f流動性代幣。

獨家 | Blockchain Global創始人：加密貨幣匿名性成為吸引黑客攻擊的原因之一:加密貨幣交易所Bithumb因黑客攻擊而損失了價值超3000萬美元的加密貨幣，前不久韓國加密貨幣交易所Coinrail因為黑客攻擊損失4000萬美元，針對該事件金色財經獨家采訪了Blockchain Global 創始人兼CEO Sam Lee表示，黑客之所以盯著加密貨幣交易所不放，黑客攻擊交易所主要是由于虛擬資產交易所聚集了大量的資金，并且相比較國家級的交易所和相應的防備技術，黑客對其具備有效的攻擊手段。由于加密貨幣本身在傳輸過程中就是通過代碼的方式，具有匿名性，所以無論是得手后的套現還是資產轉移方面，虛擬貨幣的屬性都會為黑客提供便利。

針對這類問題，一方面，當前很多交易所在安全領域，尤其是在底層錢包的安全性方面還需要提高。相信隨著行業認知以及交易所安全防護的等級的不斷提升，這類狀況在全球范圍內都會得到持續性的改善。

另一方面，正是由于現在的虛擬資產交易所融合了撮合系統、資金存儲以及結算清算等功能，一旦某一個點被攻破，交易所整體就會面臨危險。在這點上可以借鑒傳統證券二級市場的規則，撮合交易的單位（證券方）以及交易之后的清算結算（中證登）是相互獨立的兩個機構，同時也有第三方來進行監管。[2018/6/26]

接著，黑客用BEAN3CRV-f和BEANLUSD-f來對提案發起投票，然后調用emergencyCommit進行緊急提交來執行提案，從而導致提案通過。經過以上一系列的操作，3600萬個BEAN、8.75億個BEAN3CRV-f、6000萬個BEANLUSD-f以及0.54個UNI-V2，通過Beanstalk:BeanstalkProtocol合約轉入了攻擊合約。最后黑客將流動性移除并歸還閃電貸，把多余的代幣兌換為近2.5萬個ETH持續轉移至Tornado.Cash。

交易詳細信息如圖所示：

ETH被分批發送到Tornado.Cash：

Armors安全在此提醒：

首先，還是要對項目代碼的安全審計提高重視，建議找行業內正規的安全公司進行全方位的代碼審計，并定期檢查更新，可使用實時的安全監測服務，避免出現安全風險。其次，項目方應避免使用賬戶的當前資金余額來統計投票數量，投票所用資金應在合約中設定鎖定時間，避免出現可能的反復投票或使用閃電貸進行投票。對于惡意提案，項目方和社區應提高關注度及警惕性，可考慮禁止合約地址參與投票，并設立預警機制，對于惡意提案，需及時作出預警和處理，禁止惡意提案的投票通過和執行。

Armors安全機構成立于2017年，是行業最早成立的專業區塊鏈安全機構之一。Armors是Polygon、BSC、Ethereum、Solana等公鏈審計合作伙伴，已為超過2000家區塊鏈平臺、交易所、錢包、DApp等機構和項目提供安全審計、滲透測試、跨鏈遷移、平臺安全等各方面保障及服務。成立以來，Armors已為客戶挽回超過32000個BTC的資產損失。

Tags：BEAUSDSTATALKBEAR價格usdn幣最新價格STAR1talken幣價格

波場