Beanstalk, un protocollo decentralizzato di stablecoin basato sul credito, ha subito un exploit domenica 17 aprile che ha lasciato 181 milioni di dollari in vari token mancanti.
“Beanstalk ha subito un exploit oggi. Il team di Beanstalk Farms sta indagando sull'attacco e farà un annuncio alla community il prima possibile". Beanstalk ha scritto sulla sua pagina Twitter ufficiale dopo l'exploit.
Secondo un thread di tweet del ricercatore di criptovalute Igor Igamberdiev, l'attaccante è riuscito a strappare $ 76 milioni dal bottino dopo la rapina abilmente coreografata. Secondo i ricercatori, l'attacco in questione non è stato un exploit bridge come nel caso di Ronin, ma un attacco di prestito lampo.
Secondo quanto riferito, l'attaccante ha preso in prestito 350 milioni di dollari da tre dex prima di aggiungere gli importi a Curve.fi con BEAN per il voto di governance.
Lo sfruttatore ha successivamente utilizzato i beni acquisiti per votare una proposta di governance BIP18 che trasferiva tutti i fondi dal contratto di protocollo allo sfruttatore. Lo sfruttatore ha quindi "donato" 250.000 USDC alla donazione di criptovalute dell'Ucraina prima di utilizzare un'altra parte per rimborsare i prestiti flash. Successivamente ha convertito i fondi rimanenti in 24,8k WETH ($ 76 milioni), parte dei quali è stata inviata a Tornado cash mentre il resto (l'importo iniziale utilizzato per lanciare l'attacco) è stato prelevato utilizzando un bridge-synapse DeFi.
Al momento della scrittura, Beanstalk ha chiesto aiuto alla comunità DeFi e agli esperti di analisi della catena "per aiutarci a limitare la capacità dello sfruttatore di prelevare fondi tramite CEX". Hanno anche affermato di essere disposti a negoziare con l'hacker. D'altra parte, Tornado Cash deve ancora rispondere.
A seguito di una serie di attacchi ai protocolli DeFi negli ultimi sei mesi circa, Tornado Cash è stato sempre più criticato per presunto aiuto alla frode sugli investimenti. Il protocollo è già sotto un attento esame da parte dei funzionari statunitensi dopo un hack che ha visto circa 625 milioni di dollari prosciugati da Ronin, la rete blockchain che sostiene il gioco crittografico play-to-ear di Axie Infinity.
Venerdì, Tornado Cash ha cercato i servizi della società di ricerca sui dati crittografici Chainalysis Oracle Contract per impedire agli indirizzi sanzionati dell'OFAC di accedere al protocollo, aumentando le speranze di sicurezza per gli utenti di Defi . Tuttavia, mentre ciò potrebbe aiutare a mitigare la minaccia di riciclaggio di beni rubati, i contratti intelligenti in esecuzione sul protocollo sono immutabili, il che significa che gli hacker potrebbero ancora utilizzare Tornado Cash per incassare in modo anonimo.
Detto questo, lascia ancora perplessi molti come un mixer pulito i cui depositi in ETH abbiano sfruttato $ 1,1 miliardi il mese scorso e abbia un tasso di prelievo del 95% utilizzando i relayer "rimane conforme" pur garantendo la privacy.