経験豊富なハッカーが、イーサリアム ブロックチェーンから 1 億 8,200 万ドルの暗号通貨を盗むことに成功しました。詐欺師は、プロトコルのセキュリティ上の欠陥を悪用して、Beanstalk と呼ばれる分散型金融サービスを攻撃しました。開発者は、次のことを期待してハッカーに報奨金を提供しました。お金を返すよう説得する。
今週の日曜日、2022年4月17日、豆の木、に依存する重要な分散型金融プロトコルブロックチェーンイーサリアム、ハッキングの被害者でした。攻撃者が悪用したセキュリティ侵害プロトコル内でユーザーの資金を押収します。
彼は明らかにそれができた1億8,200万ドルを盗むイーサ暗号通貨で。これは、デジタル資産業界で次ぎに 10 番目に大きなハッキングです。ローニンのハック(6億2,500万ドル)およびPoly Network ハッキング(6億ドル)。
Beanstalk プロトコルは、Bean と呼ばれる、価格が安定した暗号通貨であるステーブルコインに基づいています。このDeFiサービスが提供するのは、プール資金調達に参加して報酬を獲得するBean 通貨の価格のバランスをとることを目的としています。具体的には、投資家が預けた資金によってBeanステーブルコインの運用が可能となります。その代わり、一部の勝者は暗号通貨を獲得します。この種の運用は宝くじに似ており、非常に儲かる場合があります。
ハッカーBeanstalkが保有する資産を強奪するためガバナンストークンを大量に取得。ほとんどの DeFi サービスと同様に、このプロトコルでは、これらのトークンの所有者がコードの変更について集合的に投票することができます。
海賊が手に入れたトークンの 67%これは、ユーザーが大量の暗号通貨を借りることを可能にする分散型金融サービスのおかげです。攻撃者は、デジタル通貨ローンを専門とする Aave プロトコルを使用しました。この事件では、犯人はほんの数秒のうちに 10 億ドル近くの仮想通貨を借り入れました。これらの通貨は即座にガバナンス トークンに変換され、開発者の下から敷物を引き上げました。残念ながら、Beanstalk にはありませんでした。「即時融資に対する耐性を測定する」、と彼らは指摘する。
ガバナンス トークンの 67% というしきい値を超えると、ハッカーはコードの変更に自由に投票し、スマート コントラクトを展開できます、またはスマートコントラクト。詐欺師はすぐにネットワーク上で諜報契約を開始しました。この契約には悪意のあるコードが含まれていました。
有名なブロックチェーン分析会社 CertiK は、プロセス全体に 13 秒もかからなかったと明らかにしました。「イーサリアムメインネット上のBeanstalkコントラクトは、Beanstalkガバナンスプロセスに関するこれまで知られていなかった問題を介して悪用されました。」、プロトコルの背後にある開発チームである Beanstalk Farms を指定します。
資金が回収されると、攻撃者は元のローンを返済し、8,000 万ドルの利益を生み出しました。詐欺師はこの機会を利用して、ウクライナ支援団体に25万ドルを寄付。合計 1 億 8,200 万ドルが Beanstalk ネットワークから消えました。資金の一部はトルネードキャッシュなどの仮想通貨洗浄サービスを経由していた。
同じテーマで:悪意のある NFT はすべての暗号通貨を盗む可能性があります
複数の結果をもたらす攻撃
CertiK の CEO 兼共同創設者である Ronghui Gu 氏によると、仮想通貨の世界では即時融資に基づく攻撃が増加しています。「これらの攻撃は、セキュリティ監査の重要性と、Web3 サービスのコードを作成する際のセキュリティ問題に関する教育の重要性をさらに浮き彫りにしました。」、explique Ronghui Gu。
この大規模なハッキングにより、ステーブルコインBeanの価格の突然の暴落。 1ドルで安定していたトークンは突然19セントまで下落した。 Bean を保有し続けた人々は、かなりの金額を失いました。 Twitter では、多くのインターネット ユーザーが Bean に数百万ドルを保管していると主張しています。
プロトコル開発者はすぐに次のことに取り組みました。「より安全な Beanstalk を安全に再起動します」近い将来に。 DeFi サービスの作成者は、特に忠実なコミュニティに依存できます。「Beanstalk コミュニティはこのプロジェクトに素晴らしいサポートを示し、将来に向けて多くの思慮深いアイデアを提供してくれました。」、開発者を追加します。
海賊に懸賞金がかけられている
盗まれたお金を取り戻すことを期待して、Beanstalk 開発者は攻撃者に 10% の報奨金を提供することにしました。このメッセージは、事実を考慮するとむしろ融和的であり、イーサリアムブロックチェーン上で公開されました。彼は詐欺師にこう頼む戦利品の10%と引き換えに資金の90%を返還する。
Beanstalk の開発者は明らかに絶望的です。 Discord で説明されているように、このプロジェクトは財政的に支援されていません。実際、ハッカーの協力を得なければ、不足した資金を投資家に返すことはできません。「豆の木が盗まれました。今、彼はそのお金をできるだけ多く取り戻す必要があります。彼はそのお金をすべて取り戻す必要はありません。」とプロジェクトの広報担当ベンジャミン・ワイントローブ氏は説明した。ハッキングされたDeFiプロジェクトがこの方法で資金を回収した例はすでに起こっています。ハッカーの動機が貪欲だけではないことを祈るばかりです。
分散型金融が提供するイノベーションにもかかわらず、DeFi サービスに資金を預ける際には注意することをお勧めします。ハッカーが私腹を肥やす目的で侵害を悪用することは珍しいことではありません。
