Beanstalk Farms perde mais de R$ 900 milhões em segundos depois de hack

O protocolo de stablecoin teve falha no sistema de proposta de governança, permitindo que os hackers extraíssem US$ 182 milhões.

O protocolo de stablecoin baseado em crédito Beanstalk Farms perdeu todos os seus fundos de garantia de US$ 182 milhões devido a uma violação de segurança causada por duas propostas de governança sinistras e um ataque de empréstimo instantâneo.

O problema para o protocolo aconteceu por propostas suspeitas de governança BIP-18 e BIP-19, que foram emitidas no sábado pelo explorador, que pediu o protocolo para doar fundos para a Ucrânia. No entanto, essas propostas tinham um piloto malicioso anexado a elas que acabou criando o sumidouro de fundos do protocolo, segundo com o auditor de contratos inteligentes BlockSec.

A mais recente falha de segurança de um protocolo de finanças descentralizadas (DeFi) ocorreu às 12h24 UTC. Naquela época, o hacker pediu US$ 1 bilhão em empréstimos em flash do protocolo Aave (AAVE) denominados em stablecoins DAI (DAI), USD Coin (USDT) e Tether (USDT). Eles usaram esses fundos para acumular ativos suficientes para assumir 67% da governança do protocolo e aprovar suas próprias propostas.

We’re engaging all efforts to try to move forward. As a decentralized project, we are asking the DeFi community and experts in chain analytics to help us limit the exploiter’s ability to withdraw funds via CEXes. If the exploiter is open to a discussion, we are as well. https://t.co/fwceVz6hbi

— Beanstalk Farms (@BeanstalkFarms) April 17, 2022

Um empréstimo rápido precisa ser executado e reembolsado em um único bloco e geralmente exige que vários contratos inteligentes sejam concluídos de uma só vez. Empréstimos rápidos foram usados no passado para executar hacks ou explorações de segurança de outros protocolos. A Beanstalk Farms é uma plataforma de emissão algorítmica de stablecoin descentralizada na Ethereum.

Este caso tecnicamente não foi um hack, pois os contratos inteligentes e os procedimentos de governança funcionaram conforme o planejado. Falhas em seu design foram exploradas, o que o porta-voz do projeto “Publius” reconheceu em uma reunião na segunda-feira, quando disse:

“É lamentável que o mesmo procedimento de governança que construiu nossa posição de sucesso tenha sido sua ruína.”

A empresa de análise de segurança Blockchain PeckShield notificou a equipe do Beanstalk via Twitter às 12h41 UTC no domingo que pode haver um problema com a declaração ameaçadora: “Oi, @beanstalkFarms, acho que você vai querer dar uma olhada aqui”.

Our initial analysis shows the @BeanstalkFarms loss is ~$182m ! Here is the breakdown of stolen assets: 79,238,241 BEAN3CRV-f, 1,637,956 BEANLUSD-f, 36,084,584 BEAN, and 0.54 UNI-V2_WETH_BEAN. https://t.co/8OzPn8F8ot

— PeckShield Inc. (@peckshield) April 17, 2022

Nesse momento, já era tarde demais. O invasor já havia fugido com cerca de US$ 80 milhões em Ether (ETH) e Beans (BEAN), enquanto todo o protocolo perdeu seus US$ 182 milhões em valor total bloqueado (TVL), segundo o PeckShield. O BEAN está atualmente em queda de cerca de 83%, sendo negociado a US$ 0,17, segundo com a CoinGecko, mas caiu em US$ 0,06 quando o explorador descartou seus tokens.

O explorador trocou BEAN por ETH e depois enviou as moedas para o Tornado Cash para cobrir seus rastros digitais. No entanto, eles também enviaram 250.000 USDC para a carteira de doação de criptomoedas da Ucrânia.

Às 23h49 UTC de 17 de abril, o Publius escreveu que o projeto provavelmente está perdido, já que não há capital de risco para recuperar as perdas, acrescentando “estamos fod***”.

Em uma reunião de equipe e comunidade no canal Beanstalk Discord em 18 de abril, Publius criticou os três indivíduos que desenvolveram o projeto. Eles são Benjamin Weintraub, Brendan Sanderson e Michael Montoya, que estudaram juntos na Universidade de Chicago e conceberam a Beanstalk Farms.

Montoya disse que a equipe entrou em contato com o Centro Criminal do Federal Bureau of Investigation (FBI) e “cooperaria totalmente com eles para rastrear os criminosos e recuperar fundos”.

Os contratos inteligentes do protocolo foram pausados ​​e todos os privilégios de governança foram revogados pela equipe.

A equipe não respondeu ao Cointelegraph quando perguntada se eles acreditam que o FBI tem algum recurso legal para ajudá-los, mas Publius acredita que este é definitivamente um roubo que deve ser investigado.

A comunidade de Beanstalk tem apoiado principalmente a equipe nos tempos difíceis, apesar de suas tremendas perdas pessoais. No entanto, Astrabean, membro da comunidade, acredita que a equipe deveria assumir mais responsabilidade pelo ataque, em vez de aceitar o que aconteceu como um erro honesto do qual o projeto deve seguir em frente. Ele afirmou que “eu gostaria que vocês, como líderes, assumissem a responsabilidade pelo que aconteceu”.

O membro da comunidade CharlieP ecoou essas preocupações sobre a confiança no protocolo. Ele perguntou à equipe: “Você está dizendo que não tem responsabilidade por esse empreendimento? Se for esse o caso, quem somos nós para confiar que isso não vai acontecer novamente?”.

Publius respondeu que o projeto é apenas um experimento de código aberto, não um negócio e que nem ele nem a equipe devem ser responsabilizados pelo que aconteceu. Ele adicionou: “Quando você nos pede para assumir a responsabilidade, é realmente inapropriado.”