骇客自 Beanstalk 之稳定币专案中盗走 1.82 亿美元,但只净得 8000 万美元

来源:AdobeStock / Sergey Nivens

Beanstalk 是一项基于贷款 (credit-based) 的去中心化稳定币协议,在上周末成为闪电借贷 (flash-loan) 攻击的受害者,该协议被盗走价值 1.82 亿美元的加密货币。然而,攻击者“仅仅”有办法兑现了 8000 万美元。

根据区块链安全公司 PeckShield 的说法,攻击者盗走了以太币 (ETH) 24,830 以及该协议的稳定币 BEAN 36m 等。

在盗用的加密货币取得兑换之后,BEAN 失去了持续与美元挂钩的可能,而这也可以解释为什么攻击者的实际净收益要比其所盗取的加密资产价值要低得多。

本周一早上 7 点 20 分,按市值计算排名第 787 枚的加密代币 BEAN 的交易价格为 0.298 美元,过去 24 小时下跌 70.5%,因此一周跌幅超过 70%,与其目标挂钩价格 1 美元相差甚远。

BEAN 七天价格表。来源:coingecko.com

根据 PeckShield 提醒账户,被窃的 8000 万美元已透过硬币混合工具 Tornado Cash 完成了洗钱

标记为 “Beanstalk Flashloan Exploiter” 的数位钱包地址目前仅持有价值 238.54 美元的 ETH。

在周日的一篇贴文中,Beanstalk 的 Discord 服务器管理小组 Publius 详细说明了骇客攻击发生的时间点,那是在攻击者从去中心化金融 (DeFi) 借贷协议 Aave 中取出一笔闪电贷款,并积累了大量 Beanstalk 的原生治理代币 Stalk 之后。

在获得超过 67% 的 Stalk 代币之后,攻击者能够透过恶意的治理提案,将 Beanstalk 合约中的所有资产转移到他们的数位钱包中。

他们补充说:“Beanstalk 没有使用防止闪电借贷的措施来确定投票支持 [改进提案] 的 所需要持有 Stalk 代币的百分比。”。 而 “这就是让骇客可以盗用 Beanstalk 的错误过失。”

与此同时,据报导,在今天早些时候的一次 Discord 会议上,开发人员自我泄露了本身的私人讯息。

而在最近发布的 Discord 公告当中,开发人员类似地透露了他们自己的身份,并补充说他们“没有参与,也没有事先得知这次的骇客攻击”。

“我是 Benjamin Weintraub,我和 Brendan Sanderson 和 Michael Montoya 一起在这里。我们是 Publius。我们是创造 Beanstalk 的人,” 该公告说。

开发人员还声称,他们已经联系了美国联邦调查局 (FBI/ the US Federal Bureau of Investigation),并向该联邦机构的网际网路犯罪中心 (the internet crime center) 通报了这次攻击,并补充说:

“我们打算与联邦调查局 (FBI) 充分合作,追查肇事者,并希望找回被盗走的一切。”

然而,该专案需要一些大笔的投资来补充流动性的资产以继续向前推进。根据屡获殊荣的作家和经验丰富创业家 Mark Jeffrey 的说法,一笔 5000 万美元的注资应该就可以帮助该专案恢复运作。

“对于错过了 LUNA 并且仍然相信这可能是大型稳定币协议的风险资本家或财力雄厚的鲸鱼级投资大户来说,这是一个独特的机会去攫取该稳定币专案并重新为其提供动力,并拥有大量地拥有它,”Jeffrey 如是说。