Bean Stalk farm. Эксплоит на $181М. Хакер завладел $76M
Вчера алгостейблкоин протокол Bean подвергся взлому.
Ресерчер FrankResearcher (рекомендую его твиттер, как наиболее оперативный источник информации по эксплойтам https://twitter.com/FrankResearcher) расписал механизм взлома:
«В результате хакерской атаки, профинансированной через Tornado Cash, была использована флеш-лоан атака на $1B ( 350 млн DAI, $500 млн. и $150 млн. от Aave).
Флеш-лоан токены использовались для добавления ликвидности в пулы Curve с помощью BEAN для голосования по управлению.
Далее развернули и проголосовали за фейковый BIP-18, который перевел все средства из протокола контракта на контракт хакеров.
Следующим шагом было удаление ликвидности, погашение экспресс-кредитов до зарплаты и конвертация всех полученных средств в 24,8 тыс. WETH ($76 млн.), которые пошли в Tornado Cash.
Средства пользователей были выведены:
- 36 млн. beans ($36 млн.)
- 0,54 токена ETH-BEAN UNI-v2 LP ($33 млн. в ETH и 32 миллиона долларов в BEAN)
- 79,2 млн токенов BEAN3CRV-f Curve LP ($79,2 млн.)
- 1,6 млн токенов BEAN-LUSD Curve LP ($1,6 млн)
UPD: Эксплуататор изначально финансировался из Tornado Cash, отправлял ETH через Synapse на Arbitrum, а выводил «чистые» средства в Ethereum