Protocolul focusat pe credite stablecoin Beanstalk Farms a pierdut 182 de milioane de dolari în urma unei breșe de securitate cauzată de două propuneri de guvernanță și un atac de tip flash loan.
Propunerile respective sunt BIP-18 și BIP-19 și au fost lansate pe 16 aprilie. Atacatorul a cerut membrilor care participă la guvernanța protocolului să doneze fonduri Ucrainei. Conform firmei de securitate BlockSec, un anumit smart contract ar fi fost executat atunci când propunerile ar fi fost acceptate.
Acel contract a făcut posibil furtul fondurilor protocolului. Atacatorul a luat un flash loan de pe Aave în DAI, USDC și USDT, folosind fondurile pentru a acumula suficienți tokeni pentru a trece propunerile respective inițiate de el.
Așadar, acesta nu poate fi numit un hack, din moment ce totul a funcționat as intended, ci mai degrabă un exploit. Cei de la PeckShield au avertizat oficialii protocolului Beanstalk destul de devreme, însă atacul era deja aproape pe terminate la momentul respectiv (atacatorul reușise să fure deja 80 de milioane de dolari în Ether și BEAN).
Restul de fonduri până la 182 de milioane au fost extrase la scurt timp după avertisment. Token-ul nativ proiectului, BEAN, a scăzut cu 84% în ultimele 24 de ore, conform datelor CoinGecko, aflându-se la momentul scrierii articolului la 0.15 dolari.
Atacatorul a convertit tokenii BEAN în Ether, trimițându-i apoi în Tornado Cash pentru a le pierde urma. În mod curios, atacatorii au trimis 250,000 USDC către wallet-ul Ukraine Crypto Donation.