作者:茉莉,蜂巢Tech
北京时间4月17日晚10时许,去中心化稳定币协议Beanstalk披露「遭受了攻击」。据多家区块链安全机构披露的信息,该协议遭受了闪电贷攻击,损失了超1亿美元的加密资产,攻击者从中获利近8000万美元。
攻击事件发生后,Beanstalk协议的加密资产锁仓价值归零,原本锚定1美元价值的稳定币BEAN一度跌至0.063美元。
Beanstalk后续发布在其Discord社群内容显示,攻击者在借贷平台Aave上完成闪电贷,从而积累了大量该协议的治理代币STALK;借助STALK,攻击者快速通过了一项「恶意治理提案」,从而将存储在协议内的所有资金转移。这一攻击过程陆续得到了其他区块链安全机构的分析印证。
BANXA企业传播主管Liam:利用区块链技术提供更便捷的支付服务:据官方消息,2021年11月9日BANXA企业传播主管Liam做客XT直播间,与XT AMA专栏主持人Joyce在XT官方英文群以及中文群内进行了在线AMA活动。在谈及建立初衷时Liam表示:“我们相信透明度和监管是释放数字资产全部潜力的关键。传统的支付渠道既不安全,转换率又低。因此,我们成立了一家上市公司,希望利用区块链技术提供更便捷和安全的支付服务。”
XT是一家社交化交易平台。[2021/11/9 6:41:07]
对于如何挽回损失,Beanstalk尚未公开回应。
攻击者利用闪电贷通过恶意提案
根据DefiLlama数据,4月16日,锁仓在Beanstalk协议的加密资产还价值3200万美元,一天后,衡量这一价值指标的TVL因为一场黑客攻击直接变成了0。
观点:投资者对MicroStrategy利用可转换票据购买BTC不感兴趣:12月9日,Skew数据显示,MicroStrategy昨日收盘下跌14%,成交量几乎创下纪录。对此,Skew评论称,可以肯定地说,一些投资者对可转换票据的想法并不感兴趣。12月8日消息,MicroStrategy表示,计划通过可转换票据筹集4亿美元,为配置更多比特币提供资金。[2020/12/9 14:41:39]
Beanstalk于2021年8月构建在以太坊,它是一个去中心化的稳定币协议,其发行的美元稳定币名为BEAN,价值相当于1美元。该协议宣称它是使用信用而非抵押品构建的稳定币发行协议,能够通过其命名为「Field」的去中心化信贷工具维持BEAN与美元挂钩。该协议还发行了一个治理代币STALK。
北京充分利用区块链等技术增强业务协同和数据共享能力:10月19日消息,北京将深入推进以标准化为基础的政务服务制度改革。相关负责人表示,北京将大力推进以区块链为基础的信息共享制度改革,充分利用区块链、人工智能、大数据、5G通信等新技术,增强跨地区、跨部门、跨层级业务协同和数据共享能力。(新京报)[2020/10/19]
BEAN在13分钟内严重脱锚
Beanstalk在推特上披露遭受攻击的时间是4月17日晚10时30分许,但从该协议支撑的稳定币BEAN的脱锚时间看,当晚8点39分后,厄运就开始了。Coingecko数据显示,8点39分时,原本锚定1美元的BEAN开始下跌,13分钟后,BEAN跌至0.2美元,跌幅达80%,而当晚,BEAN一度跌至0.063美元,最大跌幅为93.7%。
声音 | 中央财大邓建鹏:挖矿有效利用本可能被浪费的能源 因此有益于当地经济增长:据证券日报消息,日前,国家发改委发布《产业结构调整指导目录(2019年本,征求意见稿)》,将“虚拟货币‘挖矿’活动(比特币等虚拟货币的生产过程)”列为淘汰类产业。中央财经大学教授、区块链法律监管资深研究专家邓建鹏表示,国家计划淘汰类主要是不符合有关法律规定,不具备安全生产条件,严重浪费资源、污染环境,需要淘汰的落后工艺、技术、装备及产品。“按照此意见稿,虚拟货币‘挖矿’活动(比特币等虚拟货币的生产过程)一项未列明淘汰计划或淘汰期限,若将来生效,应属国家已明令淘汰或立即淘汰的条目。” 针对“挖矿”是否应直接被淘汰,邓建鹏表示,对不具备安全生产条件“挖矿”活动,由于存在潜在风险,应及时淘汰,并严厉打击“矿场主”的违法行为。此种“矿场”根据法律本来就应取缔,无可厚非。 邓建鹏称,对于确属浪费资源、污染环境的“挖矿”活动,则应及时淘汰。但对于“矿场”分布在国内电力资源(尤其是可再生能源,如水电、风电等)丰富但几乎无法输出的贫困地区,此活动有效利用本可能被浪费的能源,因此有益于当地经济增长。[2019/4/12]
多家安全机构分析确认,Beanstalk遭遇了闪电贷攻击。区块链安全机构PeckShield追踪了这次攻击的数据称,攻击者盗取了至少8000万美元的加密货币。另据安全机构CertiK披露,闪电贷攻击耗尽了Beanstalk约1亿美元的加密资产。
声音 | 央行征信管理局局长:国内征信或可利用区块链技术提供支持:据21世纪经济报道,10月18日,央行召开媒体沟通会。会上,央行征信管理局局长万存知对征信业发展等情况进行了介绍。他透露,目前百行征信已与241家机构签署信用信息共享合作协议,涵盖P2P、网络小额等,并于10月12日与部分机构正式开始系统接入测试工作,预计今年底可向市场提供个人征信服务。万存知称,目前正在做这方面制度方案,这是下一步工作重点。他表示:“现在一些发达国家也在研究通过替代数据(非信贷数据),大数据、区块链等技术把一些征信、金融服务没有覆盖的人群纳入服务范围”。[2018/10/19]
Beanstalk后续发布在其Discord社群内容显示,攻击者在借贷平台Aave上完成闪电贷,从而积累了大量该协议的治理代币STALK;借助STALK,攻击者快速通过了一项「恶意治理提案」,从而将协议内的资金转移。
在推特上,区块链数据分析机构TheBlock的数据研究总监IgorIgamberdiev给出了攻击过程,他称,攻击者的资金来自Synapse协议桥,他们先是为Beanstalk创建了一个编号为「BIP-18」的提案,宣称要向乌克兰捐赠25万BEAN。这个提案正是Beanstalk所指的「恶意提案」,为后续的闪电贷攻击做好了准备。
Igor称,攻击者随后使用闪电贷获得了来自Aave的3.5亿DAI、5亿USDC、1.5亿USDT,来自Uniswap的3200万BEAN,以及来自SushiSwap的1160万LUSD,这些稳定币用于使用BEAN为Curve池添加流动性,从而为BIP-18提案进行治理投票;提案通过后,Beanstalk协议上的所有资金被转移到了攻击者地址。
「下一步,攻击者取消流动性,偿还闪电贷,并将所有收到的资金转换为24800WETH,这些资金流向了混币工具TorndaoCash。」Igor表示。
闪电贷攻击和漏洞利用最常威胁DeFi
Beanstalk攻击事件后,区块链安全机构CertiK也在推特上表示,黑客能够完成攻击的根本原因是Beanstalk系统中用于投票的资金池可以通过闪电贷来创建,缺乏防闪电贷机制导致攻击者能够借用协议支持的代币并用投票的方式通过了恶意提案。
Beanstalk在事发后的Discord总结中也承认,协议「没有使用防闪贷措施来确定投票支持BIP的STALK百分比」,这正是被黑客利用的漏洞。
闪电贷本身是构建在区块链上的、独属于DeFi金融系统中加密资产贷款方式,它是一种无抵押贷款类型,具有能在链上快速执行的特点,常常被加密资产爱好者用于套利、抵押品交换或寻求低交易费用。
但这种借贷方式因数次成为攻击目标而被统称为「闪电贷攻击」,它是由于DeFi对价格预言机的依赖而引起的,区块链数据服务机构Chainalysis解释,「安全但缓慢的预言机很容易被套利;快速但不安全的预言机很容易受到价格操纵。」
据公开资料显示,仅2020年的60起DeFi攻击事件中,至少有10起事件的损失系闪电贷攻击所致,包括bZx、Balancer、Harvest、Akropolis等协议都遭受过闪电贷攻击。
而借闪电贷影响DeFi投票治理的事件也并不是没有出现过,2020年,一个名为BProtocol协议的就曾通过闪电贷获得大量MKR代币,试图通过借贷来的选票加快其通过基于MakerDAO的投票结果。
进入2022年,漏洞利用和闪电贷攻击仍是DeFi领域最常见的威胁。
今年4月,区块链安全机构成都链安发布的《安全研究季报》显示,2022年第一季度的区块链领域,DeFi项目仍是黑客攻击的重点领域,共发生19起安全事件,约60%的攻击发生在DeFi领域;而在攻击手法上,合约漏洞利用和闪电贷最为常见,约50%的攻击方式为合约漏洞利用,24%的攻击方式为闪电贷。
如今,Beanstalk的安全事件显示,黑客发起的闪电贷攻击已经不仅仅局限于利用预言机来操纵价格了,一旦协议设置的防线不足,治理机制的漏洞也可能被黑客利用,通过闪电贷来破坏协议的安全,偷走用户的资产。
4月18日凌晨,Beanstalk在推特上呼吁,请求DeFi社区和链上分析专家协助限制攻击者通过中心化交易平台提取资金的能力。截至发稿前,该协议对如何处理用户损失尚未给出答复。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。