攻击者利用DeFi投票漏洞卷走Beanstalk近1.82亿美元加密货币

安全 黑客攻防
区块链安全公司 CertiK 分析指出,Beanstalk 攻击者利用了名为 Aave 的 DeFi 协议、以借入近 10 亿美元的加密货币资产。然后将其转换为足够的 bean,以获得该项目 67% 的投票权。

区块链分析公司 Peck Shield 于周日上午发布警告称,一名攻击者设法从 Beanstalk Farms 中提取了价值约 1.82 亿美元的加密货币。据悉,作为一个旨在平衡不同加密货币资产供需的去中心化金融(DeFi)项目,攻击者利用了 Beanstalk 的“多数投票治理系统”,这也是诸多 DeFi 协议的核心功能。

扣去执行攻击所需注入的一些资金,预计黑客的“净利润”在 8000 万美元左右。不久后,Beanstalk 在一条推文中证实了这轮攻击,并声称会在调查后尽快向社区发布公告。

Beanstalk 自诩为“就与分布式信用的稳定币协议”、且运行着一套协议。参与者通过向中央资金池(筒仓 / silo)注入资金而获得奖励,而该资金池会借助 bean 代币实现币值的平衡(约 1:1 美元)。

与许多其他 DeFi 项目一样,Beanstalk 的创建者(Publius 开发团队)引入了一套治理机制,以允许参与者对代码更改进行集体投票。

然后他们将获得与其持有的代币价值成比例的投票权,但这也产生了一个明显易被别有用心的攻击者所滥用的漏洞。

截图(来自:Etherscan)

接着攻击者结合了另一款名为“闪贷”(flash loan)的 DeFi 产品,向 Beanstalk 平台发起了可在极短时间内(几分钟、甚至数秒)借入大量加密货币的行动。

原本 flash loan 旨在提供利用流动性的价格套利机会,但最新攻击已经无情地表明它也可被用于更邪恶的黑客攻击目的。

DAO 项目被阴霾深深笼罩(via Kraken)

区块链安全公司 CertiK 分析指出,Beanstalk 攻击者利用了名为 Aave 的 DeFi 协议、以借入近 10 亿美元的加密货币资产。然后将其转换为足够的 bean,以获得该项目 67% 的投票权。

凭借这一绝对多数的投票权,他们得以批准执行将资产转移到自己钱包的代码、同时立即偿还闪贷,最终获得 8000 万美元的净利润、而整个攻击过程甚至不到 13 秒。

责任编辑:赵宁宁 来源: 今日头条
相关推荐

2022-04-19 12:58:20

网络攻击黑客

2021-03-15 13:56:00

DDoS攻击加密货币

2021-11-04 05:48:43

SSL加密攻击勒索软件

2022-08-31 11:24:38

黑客加密货币漏洞

2020-12-30 09:27:55

漏洞DDoS攻击网络攻击

2021-04-05 17:55:16

GitHub恶意软件加密货币

2022-03-30 13:22:25

区块链加密货币黑客

2014-10-08 09:25:30

2010-09-25 15:40:54

2022-04-20 14:54:35

漏洞网络攻击Windows

2022-02-26 12:17:53

Wormhole加密货币漏洞

2022-01-17 13:41:28

区块链加密货币安全

2021-09-26 05:44:07

漏洞攻击黑客

2021-04-29 09:36:23

攻击漏洞Kubernetes

2023-02-17 18:30:50

2021-09-08 18:23:34

漏洞攻击Confluence

2022-07-13 10:04:07

网络攻击漏洞

2023-11-03 12:05:43

2021-04-22 09:33:37

Azure漏洞攻击

2016-01-05 15:54:32

点赞
收藏

51CTO技术栈公众号