Сегодня был творчески взломан Defi-протокол Beanstalk Farms!
Самое интересное здесь, это КАК взлом был осуществлен. Простота, граничащая с гениальностью...
Итак, шаг первый.
Хакер создает предложение по управлению Beanstalk-Improvement-Proposal-18, в котором вписано пожертвование Украине $250,000.
Шаг второй.
Хакер, используя механизм мгновенных займов, получает свыше $1млрд у Uniswap, SushiSwap и Aave в различных токенах, включая, но не ограничиваясь: USDC, USDT, DAI.
Шаг третий.
Хакер вносит эти средства в пул ликвидности BEAN, благодаря чему получает токены управления Stalk, с помощью которых проводится голосование внутри сети.
Шаг четвертый.
Получив подавляющее большинство токенов Stalk, хакер развертывает свое предложение BIP-18, которое переводит все деньги из протокола ($181млн) на сторонний кошелек.
Шаг пятый.
Хакер выводит все ранее внесенные средства из пула ликвидности BEAN, погашает свой мгновенный займ и оставшуюся разницу в $76млн конвертирует в 24800 WETH. При этом, как и было указано в сделанном им предложении, 250000 USDC были отправлены в фонд Украины (пруф прилагается в телеграм-канале Crypto Consult Group, подписывайтесь чтобы следить за продолжением этой истории).
Шаг шестой.
Хакер прогоняет свои 24800 WETH через сервис микширования транзакций Tornado Cash и больше не появляется.