mardi, novembre 26, 2024

Beanstalk Farms perd 182 millions de dollars dans l’exploit de gouvernance DeFi

Protocole stablecoin basé sur le crédit Beanstalk Farms a perdu la totalité de sa garantie de 182 millions de dollars à la suite d’une faille de sécurité causée par deux propositions de gouvernance sinistres et une attaque de prêt flash.

Le problème pour le protocole a été semé par une gouvernance suspecte les propositions BIP-18 et BIP-19 émis le 16 avril par l’exploiteur qui a demandé le protocole de don de fonds à l’Ukraine. Cependant, ces propositions étaient assorties d’un avenant malveillant qui a finalement créé le gouffre des fonds du protocole selon l’auditeur des contrats intelligents BlockSec.

Cette dernière faille de sécurité d’un protocole de finance décentralisée (DeFi) a eu lieu à 12h24 UTC. À cette époque, l’exploiteur a contracté 1 milliard de dollars en prêts flash du protocole AAVE (AAVE) libellés en stablecoins DAI (DAI), USD Coin (USDC) et Tether (USDT). Ils ont utilisé ces fonds pour accumuler suffisamment d’actifs pour reprendre 67% de la gouvernance du protocole et approuver leurs propres propositions.

Un prêt flash doit être exécuté et remboursé en un seul bloc et fait généralement appel à plusieurs contrats intelligents à la fois. Les prêts flash ont été utilisés dans le passé pour effectuer des hacks ou des exploits de sécurité d’autres protocoles. Beanstalk Farms est une plate-forme algorithmique décentralisée d’émission de stablecoins sur Ethereum.

Cette affaire n’était techniquement pas un piratage car les contrats intelligents et les procédures de gouvernance fonctionnaient comme prévu. Des défauts dans leur conception ont été exploités, ce que le porte-parole du projet « Publius » a reconnu lors d’une réunion le 18 avril lorsqu’il a déclaré :

« Il est regrettable que la même procédure de gouvernance qui a mis le haricot en position de réussir ait finalement causé sa perte. »

La société d’analyse de sécurité Blockchain PeckShield a informé l’équipe Beanstalk via Twitter à 12h41 UTC le 17 avril qu’il pourrait y avoir un problème avec la déclaration inquiétante: « Salut, @beanstalkFarms, vous voudrez peut-être jeter un œil. »

À ce moment-là, il était trop tard. L’exploiteur avait déjà emporté environ 80 millions de dollars en Ether (ETH) et Beans (BEAN) tandis que l’ensemble du protocole a perdu ses 182 millions de dollars en valeur totale verrouillée (TVL) selon PeckShield. BEAN est actuellement en baisse d’environ 83% à 0,17 $ selon CoinGecko mais creux à 0,06 $ lorsque l’exploiteur a jeté ses jetons.

L’exploiteur a échangé BEAN contre ETH, puis a envoyé les pièces à Tornado Cash pour couvrir leurs traces numériques. Cependant, ils ont également envoyé 250 000 USDC au portefeuille Ukraine Crypto Donation.

À 23h49 UTC le 17 avril, Publius a écrit que le projet est probablement perdu car il n’y a pas de capital-risque pour récupérer les pertes, ajoutant « Nous sommes foutus ».

Lors d’une réunion d’équipe et de communauté sur la chaîne Beanstalk Discord le 18 avril, Publius a doxxé les trois personnes qui ont développé le projet. Ce sont Benjamin Weintraub, Brendan Sanderson et Michael Montoya, qui ont tous fréquenté l’Université de Chicago ensemble et ont conçu Beanstalk Farms.

Montoya a déclaré que l’équipe avait contacté le Federal Bureau of Investigation (FBI) Crime Center et « coopérerait pleinement avec eux pour retrouver les auteurs et récupérer les fonds ».

Les contrats intelligents du protocole ont été suspendus et tous les privilèges de gouvernance ont été révoqués par l’équipe.

Lié: Le groupe nord-coréen Lazarus serait à l’origine du piratage du pont Ronin

L’équipe n’a pas répondu lorsque Cointelegraph leur a demandé s’ils pensaient que le FBI avait un recours légal pour les aider, mais Publius pense qu’il s’agit définitivement d’un vol qui devrait faire l’objet d’une enquête.

La communauté de Beanstalk a principalement soutenu l’équipe dans les moments difficiles malgré ses énormes pertes personnelles. Cependant, le membre de la communauté « Astrabean » pense que l’équipe devrait assumer davantage la responsabilité de l’attaque plutôt que d’accepter ce qui s’est passé comme une erreur honnête dont le projet doit partir. Il a déclaré: « J’aurais voulu que vous, en tant que dirigeants, assumiez la responsabilité de ce qui s’est passé. »

Le membre de la communauté « CharlieP » a fait écho à ces préoccupations concernant la confiance dans le protocole. Il a demandé à l’équipe : « Êtes-vous en train de dire que vous n’êtes pas responsable de cette entreprise ? Si tel est le cas, à qui sommes-nous pour croire que cela ne se reproduira plus ? »

Publius a répondu que le projet n’est qu’une expérience de code open-source, pas une entreprise et que ni lui ni l’équipe ne devraient être tenus responsables de ce qui s’est passé. Il ajouta,

« Quand vous nous demandez de prendre nos responsabilités, c’est vraiment inapproprié. »