STE:Beanstalk Farms攻击事件分析：恶意提案如何防范？_RPC币

2022年4月17日，成都链安链必应-区块链安全态势感知平台舆情监测显示，算法稳定币项目BeanstalkFarms遭黑客攻击，黑客获利近8000万美元，成都链安技术团队第一时间对事件进行了分析，结果如下。

#1事件相关信息

攻击交易

0xcd314668aaa9bbfebaf1a0bd2b6553d01dd58899c508d4729fa7311dc5d33ad7

攻击者地址

0x1c5dcdd006ea78a7e4783f9e6021c32935a10fb4

美国财长耶伦：拜登关于加密货币的指令将解决非法金融风险:金色财经报道，美国财政部长Janet L. Yellen就拜登总统关于加密资产的行政命令发表了以下声明。拜登总统的历史性行政命令呼吁对数字资产政策采取一种协调和全面的方法。 这种方法将支持负责任的创新，可能为国家、消费者和企业带来巨大的利益。 它还将解决与非法金融有关的风险，保护消费者和投资者，并防止对金融系统和更广泛的经济的威胁。

根据该行政命令，财政部将与机构间同事合作，编写一份关于货币和支付系统未来的报告。我们还将召集金融稳定监督委员会，评估数字资产的潜在金融稳定风险，并评估是否有适当的保障措施。而且，由于数字资产提出的问题往往具有重要的跨境层面，我们将与我们的国际伙伴合作，促进健全的标准和公平的竞争环境。这项工作将补充财政部正在进行的努力。该部已经与总统的金融市场工作组、联邦存款保险公司和美国中央银行合作，研究一种特殊的数字资产--稳定币，并提出建议。根据该行政命令，财政部和机构间合作伙伴将在最近发布的国家风险评估的基础上，确定与数字资产相关的主要非法融资风险。[2022/3/9 13:45:53]

攻击合约

哈萨克斯坦总统呼吁国际社会共同努力，制定关于加密货币的共同规则:哈萨克斯坦总统努尔苏丹·纳扎尔巴耶夫(Nursultan Nazarbayev)日前敦促国际社会共同努力，起草关于使用加密货币的共同规则。据TengriNews报道，5月17日，纳扎尔巴耶夫在“2018年全球挑战峰会”上表示：“我们有必要开始就加密货币制定共同规则。当前，大多数国家都在就加密货币适应当前金融体系结构的可能性进行及积极地探索。于此同时，我们也看到，各国在这一问题上采取的监管行动各不相同，容易造成混乱及效率低下。”[2018/5/19]

0x79224bC0bf70EC34F0ef56ed8251619499a59dEf

关于小额度充值时充值手续费政策实行的公告:将于韩国时间2018年2月07日15点开始实行小额度充值手续费政策。详情请查看原文。[2018/2/5]

被攻击合约

0xc1e088fc1323b20bcbee9bd1b9fc9546db5624c5

#2攻击流程

1.攻击者从攻击的前一天发起了提案交易,提案通过会提取Beanstalk:BeanstalkProtocol合约中的资金。

2.黑客通过闪电贷换取了350,000,000个DAI，500,000,000个USDC，150,000,000个USDT，32,100,950个BEAN和11,643,065个LUSD作为资金储备。

3.黑客将2步骤的DAI，USDC，USDT资金在Curve.fiDAI/USDC/USDT交易池中添加为979,691,328个3Crv流动性代币，用15,000,000个3Crv换来15,251,318个LUSD。

4.将964,691,328个3Crv代币兑换为795,425,740个BEAN3CRV-f用于投票，将32,100,950个BEAN和26,894,383LUSD添加流动性得到58,924,887个BEANLUSD-f流动性代币。

5.使用4步骤中的BEAN3CRV-f和BEANLUSD-f来对提案进行投票，导致提案通过。从而Beanstalk:BeanstalkProtocol合约向攻击合约转入了36,084,584个BEAN，0.54个UNI-V2，874,663,982个BEAN3CRV-f以及60,562,844个BEANLUSD-f。

6.最后攻击者将流动性移除并归还闪电贷，把多余的代币兑换为24830个ETH转入攻击者账户中。

#3漏洞分析

本次攻击主要利用了投票合约中的票数是根据账户中的代币持有量得到的。

攻击者至少在一天前发起提取Beanstalk:BeanstalkProtocol资金的提案，然后调用emergencyCommit进行紧急提交来执行提案，这个就是攻击者1天之前发起攻击准备的原因所在。

#4资金追踪

截止发文时，攻击者获利22029601个USDC，14742429个DAI，6,603,829个USDT与0.5407个UNI-V2，640224美元的BAEN代币资金近8000万，在攻击时将其中的25万USDC捐赠了乌克兰，之后攻击者将资金转换为ETH并将资金持续向Tornado.Cash转移。

针对本次事件，成都链安技术团队建议：

1.投票所用资金应在合约中锁定一定时间，避免使用账户的当前资金余额来统计投票数量，以避免可能出现的反复投票以及使用闪电贷进行投票；

2.项目方和社区应关注所有提案，如果提案是恶意提案，建议在提案投票期间应及时做出处理措施，将提案废弃，禁止其接受投票以及执行；

3.可考虑禁止合约地址参与投票；此外项目上线前最好进行全面的安全审计，规避安全风险。

标签：STEBEAUSDRPCMONSTERBEAMusdc币价格RPC币

酷币下载热门资讯