點擊此處下載PANews App ,隨時隨地閱讀更多區塊鏈即時快訊和深度好文。


北京時間4月17日晚10時許,去中心化穩定幣協議Beanstalk披露「遭受了攻擊」。據多家區塊鏈安全機構披露的信息,該協議遭受了閃電貸攻擊,損失了超1億美元的加密資產,攻擊者從中獲利近8000萬美元。

攻擊事件發生後,Beanstalk 協議的加密資產鎖倉價值(TVL)歸零,原本錨定1美元價值的穩定幣BEAN一度跌至0.063美元。

Beanstalk後續發佈在其Discord社群內容顯示,攻擊者在藉貸平台Aave上完成閃電貸,從而積累了大量該協議的治理代幣STALK;借助STALK,攻擊者快速通過了一項「惡意治理提案」,從而將存儲在協議內的所有資金轉移。這一攻擊過程陸續得到了其他區塊鏈安全機構的分析印證。

對於如何挽回損失,Beanstalk尚未公開回應。

攻擊者利用閃電貸通過惡意提案

根據DefiLlama數據,4月16日,鎖倉在Beanstalk協議的加密資產還價值3200萬美元,一天后,衡量這一價值指標的TVL因為一場黑客攻擊直接變成了0。

Beanstalk於2021年8月構建在以太坊,它是一個去中心化的穩定幣協議,其發行的美元穩定幣名為BEAN,價值相當於1美元。該協議宣稱它是使用信用而非抵押品構建的穩定幣發行協議,能夠通過其命名為「Field」的去中心化信貸工具維持BEAN與美元掛鉤。該協議還發行了一個治理代幣STALK。

BEAN在13分鐘內嚴重脫錨

Beanstalk在推特上披露遭受攻擊的時間是4月17日晚10時30分許,但從該協議支撐的穩定幣BEAN的脫錨時間看,當晚8點39分後,厄運就開始了。 Coingecko數據顯示,8點39分時,原本錨定1美元的BEAN開始下跌,13分鐘後,BEAN跌至0.2美元,跌幅達80%,而當晚,BEAN一度跌至0.063美元,最大跌幅為93.7% 。

多家安全機構分析確認,Beanstalk遭遇了閃電貸攻擊。區塊鏈安全機構PeckShield追踪了這次攻擊的數據稱,攻擊者盜取了至少8000萬美元的加密貨幣。另據安全機構CertiK披露,閃電貸攻擊耗盡了Beanstalk約1億美元的加密資產。

Beanstalk後續發佈在其Discord社群內容顯示,攻擊者在藉貸平台Aave上完成閃電貸,從而積累了大量該協議的治理代幣STALK;借助STALK,攻擊者快速通過了一項「惡意治理提案」,從而將協議內的資金轉移。

在推特上,區塊鏈數據分析機構The Block的數據研究總監Igor Igamberdiev給出了攻擊過程,他稱,攻擊者的資金來自Synapse協議橋,他們先是為Beanstalk創建了一個編號為「BIP-18」的提案,宣稱要向烏克蘭捐贈25萬BEAN。這個提案正是Beanstalk所指的「惡意提案」,為後續的閃電貸攻擊做好了準備。

Igor稱,攻擊者隨後使用閃電貸獲得了來自Aave的3.5億DAI、5億USDC、1.5億USDT,來自Uniswap的3200萬BEAN,以及來自SushiSwap的1160萬LUSD(編者註:DAI、USDC、BEAN、 LUSD均為美元穩定幣),這些穩定幣用於使用BEAN為Curve池添加流動性,從而為BIP-18提案進行治理投票;提案通過後,Beanstalk 協議上的所有資金被轉移到了攻擊者地址。

「下一步,攻擊者取消流動性,償還閃電貸,並將所有收到的資金轉換為24800 WETH(折合7600萬美元),這些資金流向了混幣工具TorndaoCash。」Igor表示。

閃電貸攻擊和漏洞利用最常威脅DeFi

Beanstalk攻擊事件後,區塊鏈安全機構CertiK也在推特上表示,黑客能夠完成攻擊的根本原因是Beanstalk系統中用於投票的資金池可以通過閃電貸來創建,缺乏防閃電貸機制導致攻擊者能夠借用協議支持的代幣並用投票的方式通過了惡意提案。

Beanstalk在事發後的Discord總結中也承認,協議「沒有使用防閃貸措施來確定投票支持BIP的STALK百分比」,這正是被黑客利用的漏洞。

閃電貸本身是構建在區塊鏈上的、獨屬於DeFi金融系統中加密資產貸款方式,它是一種無抵押貸款類型,具有能在鏈上快速執行的特點,常常被加密資產愛好者用於套利、抵押品交換或尋求低交易費用。

但這種借貸方式因數次成為攻擊目標而被統稱為「閃電貸攻擊」,它是由於DeFi 對價格預言機的依賴而引起的,區塊鏈數據服務機構Chainalysis解釋,「安全但緩慢的預言機很容易被套利;快速但不安全的預言機很容易受到價格操縱。」

據公開資料顯示,僅2020年的60起DeFi攻擊事件中,至少有10起事件的損失系閃電貸攻擊所致,包括bZx、Balancer、Harvest、Akropolis等協議都遭受過閃電貸攻擊。

而藉閃電貸影響DeFi投票治理的事件也並不是沒有出現過,2020年,一個名為BProtocol 協議的就曾通過閃電貸獲得大量MKR代幣,試圖通過借貸來的選票加快其通過基於MakerDAO 的投票結果。

進入2022年,漏洞利用和閃電貸攻擊仍是DeFi領域最常見的威脅。

漏洞利用和閃電貸攻擊是黑客常用手段

今年4月,區塊鏈安全機構成都鏈安發布的《安全研究季報》顯示,2022年第一季度的區塊鏈領域,DeFi項目仍是黑客攻擊的重點領域,共發生19起安全事件,約60%的攻擊發生在DeFi領域;而在攻擊手法上,合約漏洞利用和閃電貸最為常見,約50%的攻擊方式為合約漏洞利用,24%的攻擊方式為閃電貸。

如今,Beanstalk的安全事件顯示,黑客發起的閃電貸攻擊已經不僅僅局限於利用預言機來操縱價格了,一旦協議設置的防線不足,治理機制的漏洞也可能被黑客利用,通過閃電貸來破壞協議的安全,偷走用戶的資產。

4月18日凌晨,Beanstalk在推特上呼籲,請求DeFi社區和鏈上分析專家協助限制攻擊者通過中心化交易平台提取資金的能力。截至發稿前,該協議對如何處理用戶損失尚未給出答复。

你常在DeFi場景中使用閃電貸工具嗎?