記者 Archer Sun / 綜合報導
以太坊的穩定幣協議 Beanstalk Farms 在昨(17)日晚間驚傳遭駭客閃電貸攻擊,共計損失近 1.8 億美元,駭客盜取至少價值 8000 萬美元資產。
Beanstalk Farms 遭駭客閃電貸攻擊,駭客透過惡意閃電貸騙走資金
目前 Beanstalk Farms 已暫停所有合約活動,根據外媒統計駭客竊取的內容包括 24,830 個以太坊和超過 1 億個 Bean 代幣,Bean 代幣是 Beanstalk 專屬的穩定幣且與美元掛鉤,一個 Bean 等於 1 美元。諷刺的是駭客在盜取後還特別向烏克蘭捐贈 250,000 USDC,其餘的 ETH 贓款則被轉匯到名為 Tornado Cash 的以太坊隱私交易平台。
昨日項目方於官方 Discord 中證實了這項消息之餘,也向投資者人表示用戶無法從這次的攻擊事件中獲得補償,截稿前 Beanstalk 的 BEAN 穩定幣價格早已一瀉千里,從原本的 1 美元暴跌至截稿前的 0.22 美元,跌幅 90% 以上。
Beanstalk 團隊成員 Michael Montoya 發出聲明表示已向 FBI 協助調查,但也在 Discord 上發表聲明:「老實說,不知道該說什麼。我們完蛋了。 該項目沒有任何風險投資支持,因此不太可能有任何形式的紓困。」但自事件發生至今 Beanstalk Farms 的社群成員大多仍選擇繼續支持團隊,但也有人指出團隊不該只是接受這樣的結果,這個項目必須要繼續往前,並希望身為領導人的項目坊應該要為此事件負責。
駭客透過閃電貸募集大量資金,同時透過建立虛假提案騙取資金池
至於駭客所使用的手法,首先透過幾個DeFi 借貸協議平台累積大量資金,像是這次事件中駭客利用 Aave 上的 3.5 億 DAI、5 億 USDC 和 1.5 億 USDT、 Uniswap v2 上的 3,200 萬 BEAN、以及來自 SushiSwap 的 1,160 萬 LUSD。
這些資金讓駭客可以積累大量 Beanstalk 的原生治理貸幣 Stalk,借助這些 Stalk 代幣授予的投票權,駭客能夠快速通過惡意治理提案,透過建立虛假的「BIP-18」提案聲稱要向烏克蘭援助 25 萬美元,該 BIP 成功獲取了所有資金池資金,駭客進一步將資金從協議轉移到私人以太坊錢包。
最後一步駭客為了消除流動性、償還閃電貸款,駭客將所有收到的資金轉換為 24,830 ETH 並流向了 Tornado Cash 洗錢完成詐騙。