Взлом Beanstalk Farms на $181 млн
Новый популярный Beanstalk Farms протокол потерял более $181 млн в результате сегодняшнего эксплойта, но злоумышленник получил только $76 млн. Давайте разберемся, что произошло. Контракт основного протокола полностью опустошен. Средства пользователей были выведены:
- 36M BEAN ($36M)
- 0.54 ETH-BEAN UNI-v2 LP tokens ($33M in ETH and $32M in BEAN)
- 79.2M BEAN3CRV-f Curve LP tokens ($79.2M?)
- 1.6M BEAN-LUSD Curve LP tokens ($1.6M?)
Эксплуататор финансировался мостом Synapse Protocol. После этого они создали предложение BIP-18, чтобы пожертвовать Украине 250к BEAN, которое перед исполнением было сфальсифицировано.
Злоумышленники использовали быстрый кредит, чтобы получить:
- 350M DAI, 500M USDC, and 150M USDT from Aave;
- 32M BEAN from Uniswap v2;
- 11.6M LUSD from SushiSwap.
Эти токены использовались для добавления ликвидности в пулы Curve с помощью BEAN для голосования по управлению. Ссылка на транзакцию.
Далее они развернули и проголосовали за фейковый BIP-18, который перевел все средства из протокола контракта на эксплуататора. Следующим шагом было удаление ликвидности, погашение экспресс-кредитов и конвертация всех полученных средств в 24,8 тыс. WETH ($76 млн), которые пошли в Tornado Cash.
UPD: Эксплуататор изначально финансировался из Tornado Cash, отправлял ETH через Synapse на Arbitrum, а выводил «чистые» средства в Ethereum.
Судя по всему, донат Украине все же произошел:
Материал подготовлен автором канала The Wolf Of Your Street. Поддержите автора подпиской!