Une faille dans les opérations de Beanstalk Farms, un protocole stablecoin, a permis à un acteur menaçant inconnu de siphonner 182 millions de dollars du réseau, a-t-il émergé.
Un stablecoin est un jeton de crypto-monnaie lié à une devise ordinaire ou à un autre actif stable, tel que l’or. En tant que tels, les stablecoins ont une valeur stable par rapport aux crypto-monnaies plus volatiles, telles que le bitcoin.
Beanstalk Farms est un protocole stablecoin qui fonctionne sur le réseau Ethereum et émet le jeton de gouvernance BEAN, qui donne aux propriétaires le pouvoir de vote pour toute modification du réseau lui-même.
Prêts flash
Décrivant l’incident dans un message Discord, la société a déclaré que l’attaquant avait découvert une vulnérabilité dans son système de gouvernance, rendue possible grâce à un service de prêt flash. Aucun logiciel malveillant, mot de passe volé ou fausse identité n’a été utilisé dans l’attaque.
Les prêts flash sont comme des prêts ordinaires, la seule différence étant qu’ils se produisent en un éclair. Ces prêts instantanés sont rendus possibles grâce à la nature unique de la technologie blockchain. Cependant, dans ce cas particulier, les prêts flash ont aidé l’attaquant à voler l’argent du protocole. L’acteur menaçant a utilisé le service de prêt flash Aave pour acheter une grande quantité de BEAN.
Désormais en possession d’une grande partie de BEAN, l’attaquant a pu faire passer une proposition de gouvernance malveillante et siphonner tous les fonds du protocole dans un portefeuille ETH privé.
« Beanstalk n’a pas utilisé de mesure de résistance aux prêts flash pour déterminer le % de Stalk qui avait voté en faveur du BIP », lit-on dans le post Discord. « C’est la faute qui a permis au pirate d’exploiter Beanstalk. »
Une partie des fonds (250 000 $) a été envoyée dans un portefeuille de secours ukrainien, CoinDesk signalé. Il est actuellement difficile de savoir si l’entreprise remboursera les clients concernés.
Les piratages cryptographiques deviennent de plus en plus dévastateurs de jour en jour. Plus tôt cette année, des centaines de millions de dollars en crypto-monnaie ont été volés au réseau Ronin, qui fournit le « pont blockchain » qui alimente le jeu NFT Axie Infinity.
Via CoinDesk