區(qū)塊鏈分析公司 Peck Shield 于周日上午發(fā)布警告稱，一名攻擊者設(shè)法從 Beanstalk Farms 中提取了價(jià)值約 1.82 億美元的加密貨幣。據(jù)悉，作為一個(gè)旨在平衡不同加密貨幣資產(chǎn)供需的去中心化金融(DeFi)項(xiàng)目，攻擊者利用了 Beanstalk 的“多數(shù)投票治理系統(tǒng)”，這也是諸多 DeFi 協(xié)議的核心功能。

扣去執(zhí)行攻擊所需注入的一些資金，預(yù)計(jì)黑客的“凈利潤(rùn)”在 8000 萬美元左右。不久后，Beanstalk 在一條推文中證實(shí)了這輪攻擊，并聲稱會(huì)在調(diào)查后盡快向社區(qū)發(fā)布公告。

Beanstalk 自詡為“就與分布式信用的穩(wěn)定幣協(xié)議”、且運(yùn)行著一套協(xié)議。參與者通過向中央資金池(筒倉(cāng) / silo)注入資金而獲得獎(jiǎng)勵(lì)，而該資金池會(huì)借助 bean 代幣實(shí)現(xiàn)幣值的平衡(約 1：1 美元)。

與許多其他 DeFi 項(xiàng)目一樣，Beanstalk 的創(chuàng)建者(Publius 開發(fā)團(tuán)隊(duì))引入了一套治理機(jī)制，以允許參與者對(duì)代碼更改進(jìn)行集體投票。

然后他們將獲得與其持有的代幣價(jià)值成比例的投票權(quán)，但這也產(chǎn)生了一個(gè)明顯易被別有用心的攻擊者所濫用的漏洞。

截圖(來自：Etherscan)

接著攻擊者結(jié)合了另一款名為“閃貸”(flash loan)的 DeFi 產(chǎn)品，向 Beanstalk 平臺(tái)發(fā)起了可在極短時(shí)間內(nèi)(幾分鐘、甚至數(shù)秒)借入大量加密貨幣的行動(dòng)。

原本 flash loan 旨在提供利用流動(dòng)性的價(jià)格套利機(jī)會(huì)，但最新攻擊已經(jīng)無情地表明它也可被用于更邪惡的黑客攻擊目的。

DAO 項(xiàng)目被陰霾深深籠罩(via Kraken)

區(qū)塊鏈安全公司 CertiK 分析指出，Beanstalk 攻擊者利用了名為 Aave 的 DeFi 協(xié)議、以借入近 10 億美元的加密貨幣資產(chǎn)。然后將其轉(zhuǎn)換為足夠的 bean，以獲得該項(xiàng)目 67% 的投票權(quán)。

憑借這一絕對(duì)多數(shù)的投票權(quán)，他們得以批準(zhǔn)執(zhí)行將資產(chǎn)轉(zhuǎn)移到自己錢包的代碼、同時(shí)立即償還閃貸，最終獲得 8000 萬美元的凈利潤(rùn)、而整個(gè)攻擊過程甚至不到 13 秒。