PeckShield, una empresa de seguridad de blockchain que pretende mejorar la seguridad, la privacidad y la usabilidad de todo el ecosistema de blockchain, ha anunciado en un tuit que el protocolo de finanzas descentralizadas (DeFi) Beanstalk (BEAN) ha sido víctima de un hacker.
Según los datos actuales -que probablemente cambien a medida que avance la investigación- se cree que el hacker se ha llevado más de 82 millones de dólares, mientras que Beanstalk habría sufrido pérdidas de hasta 182 millones. Beanstalk es un protocolo de stablecoin basado en créditos y en Ethereum (ETH).
Beanstalk suffered an exploit today.
— Beanstalk Farms (@BeanstalkFarms) April 17, 2022
The Beanstalk Farms team is investigating the attack and will make an announcement to the community as soon as possible.
Los fundadores del proyecto se han comunicado desde entonces en Discord y afirman estar en fase de investigación.
La empresa PeckShield explica que el hacker robó 80 millones de dólares transfiriéndolos en Tornado Cash (protocolo mixto). Más concretamente, consiguió robar 24.830 ETH, lo que equivale a unos 75,8 millones de dólares.
The @BeanstalkFarms protocol loss is ~$182m and the hacker nets $80m. The rest $100m goes to various protocols as fees to pay flashloan and swap. Should these protocols (incl. @AaveAave @SushiSwap @CurveFinance @Uniswap @BeanstalkFarms) return these fees back to @BeanstalkFarms?
— PeckShield Inc. (@peckshield) April 18, 2022
¿Cómo consiguió el hacker atacar a Beanstalk?
El protocolo BeanStalk (BEAN) fue hackeado mediante un ataque de préstamo flash. Esta técnica, un nuevo tipo de financiación sin garantías, está cada vez más presente en las noticias: a veces es utilizada por individuos malintencionados en protocolos DeFi no garantizados.
Los fundadores de Beanstalk resumieron el proceso del ataque en un largo post de Discord dirigido a la comunidad:
En él, explican que el hacker había contratado previamente un préstamo flash en la plataforma Aave para poder obtener una cantidad importante de tokens de gobernanza nativos de Beanstalk. Utilizando estos tokens, una “propuesta de gobierno maliciosa drenó todos los fondos del protocolo a una cartera privada de Ethereum”.
Afirman:
“Beanstalk” no utilizó una métrica resistente a los préstamos para determinar el % de Stalk que había votado a favor del BIP. Este es el fallo que permitió al hacker explotar Beanstalk”.
Fundadores de Beanstalk, mensaje explicativo en Discord
Otro punto sorprendente es que el hacker hizo primero una donación de 250.000 dólares a Ucrania.
Por desgracia para los usuarios, los fundadores de Beanstalk no dan ninguna respuesta ni garantía sobre la devolución de los fondos robados. Incluso parecen derrotistas para el futuro de Beanstalk. Sin embargo, se espera que se anuncien más noticias y no se pueden sacar conclusiones precipitadas.
