El protocolo de stablecoin basado en créditos Beanstalk Farms perdió todos sus USD 182 millones de garantía por una brecha de seguridad causada por dos siniestras propuestas del gobierno y un ataque de préstamo flash.
El problema para el protocolo fue sembrado por las sospechosas propuestas de gobierno BIP-18 y BIP-19 emitidas el 16 de abril por el causante del exploit, que pedían que el protocolo donara fondos a Ucrania. Sin embargo, esas propuestas tenían una cláusula maliciosa adjunta que en última instancia creó el sumidero de fondos del protocolo, según el auditor de contratos inteligentes BlockSec.
Este último fallo de seguridad de un protocolo financiero descentralizado (DeFi) tuvo lugar a las 12:24 pm UTC. En ese momento, el causante del exploit sacó mil millones de dólares en préstamos flash del protocolo AAVE (AAVE) denominados en stablecoins DAI (DAI), USD Coin (USDC) y Tether (USDT). Utilizó estos fondos para acumular suficientes activos para hacerse con el 67% del gobierno del protocolo y aprobar sus propias propuestas.
We’re engaging all efforts to try to move forward. As a decentralized project, we are asking the DeFi community and experts in chain analytics to help us limit the exploiter's ability to withdraw funds via CEXes. If the exploiter is open to a discussion, we are as well. https://t.co/fwceVz6hbi
— Beanstalk Farms (@BeanstalkFarms) April 17, 2022
Estamos comprometiendo todos los esfuerzos para tratar de avanzar. Como proyecto descentralizado, estamos pidiéndole a la comunidad de DeFi y a los expertos en análisis on-chain que nos ayuden a limitar la capacidad del culpable de retirar fondos a través de CEX. Si el causante del exploit está abierto a una discusión, nosotros también lo estamos. https://t.co/fwceVz6hbi
Un préstamo flash debe ser ejecutado y reembolsado dentro de un solo bloque y por lo general llama a varios contratos inteligentes a la vez para completarse. Los préstamos flash se han utilizado en el pasado para realizar hackeos o exploits de seguridad de otros protocolos. Beanstalk Farms es una plataforma algorítmica descentralizada de emisión de stablecoin en Ethereum.
Este caso no fue técnicamente un hackeo, ya que los contratos inteligentes y los procedimientos de gobernanza funcionaron tal y como fueron diseñados. Se aprovecharon de fallos en su diseño, que el portavoz del proyecto "Publius" reconoció en una reunión el 18 de abril cuando dijo:
“Es lamentable que el mismo procedimiento de gobernanza que puso a beanstalk en posición de éxito fuera finalmente su perdición.”
La firma de análisis de seguridad de blockchain PeckShield notificó al equipo de Beanstalk a través de Twitter a las 12:41pm UTC del 17 de abril que podría haber un problema con la ominosa declaración: "Hola, @beanstalkFarms, es posible que quieras echar un vistazo".
Our initial analysis shows the @BeanstalkFarms loss is ~$182m ! Here is the breakdown of stolen assets: 79,238,241 BEAN3CRV-f, 1,637,956 BEANLUSD-f, 36,084,584 BEAN, and 0.54 UNI-V2_WETH_BEAN. https://t.co/8OzPn8F8ot
— PeckShield Inc. (@peckshield) April 17, 2022
¡Nuestro análisis inicial muestra que la pérdida de @BeanstalkFarms es de ~182 millones de dólares! Este es el desglose de los activos robados: 79,238,241 BEAN3CRV-f, 1,637,956 BEANLUSD-f, 36,084,584 BEAN y 0.54 UNI-V2_WETH_BEAN. https://t.co/8OzPn8F8ot
En ese momento, era demasiado tarde. El causante del exploit ya se había hecho con unos USD 80 millones en Ether (ETH) y Beans (BEAN) mientras que todo el protocolo perdió sus USD 182 millones en valor total bloqueado (TVL), según PeckShield. BEAN ha bajado actualmente un 83%, cotizando a USD 0.17, según CoinGecko, pero se hundió a USD 0.06 cuando el causante se deshizo de sus tokens.
El causante del exploit cambió BEAN por ETH y luego envió las monedas a Tornado Cash para cubrir sus huellas digitales. Sin embargo, también envió 250,000 USDC al monedero de Crypto Donation de Ucrania.
A las 11:49 pm UTC del 17 de abril, Publius escribió que el proyecto está probablemente perdido ya que no hay respaldo de capital de riesgo para recuperar las pérdidas, añadiendo "Estamos jodidos".
En una reunión del equipo y la comunidad en el canal de Discord de Beanstalk el 18 de abril, Publius doxxeó las tres personas que desarrollaron el proyecto. Se trata de Benjamin Weintraub, Brendan Sanderson y Michael Montoya, quienes asistieron juntos a la Universidad de Chicago y concibieron Beanstalk Farms.
Montoya dijo que el equipo se había puesto en contacto con el Centro de Delitos de la Oficina Federal de Investigaciones (FBI) y que "cooperaría plenamente con ellos para localizar a los autores y recuperar los fondos".
Los contratos inteligentes del protocolo han sido pausados y todos los privilegios de gobierno han sido revocados por el equipo.
El equipo no respondió cuando Cointelegraph preguntó si creen que el FBI tenga algún recurso legal para ayudarlos, pero Publius cree que esto definitivamente es un robo que debe investigarse.
La comunidad de Beanstalk ha apoyado mayoritariamente al equipo en estos momentos difíciles, a pesar de sus tremendas pérdidas personales. Sin embargo, el miembro de la comunidad "Astrabean" cree que el equipo debería asumir más responsabilidad por el ataque en lugar de aceptar lo ocurrido como un error honesto del que el proyecto debe salir. Afirmó que "me hubiera gustado que, como líderes, asumieran la responsabilidad de lo sucedido".
El miembro de la comunidad "CharlieP" se hizo eco de esas preocupaciones sobre la confianza en el protocolo. Preguntó al equipo: "¿Están diciendo que no tienen ninguna responsabilidad en esta empresa? Si es así, ¿en quién vamos a confiar para que esto no vuelva a ocurrir?".
Publius respondió que el proyecto es solo un experimento de código abierto, no un negocio, y que ni él ni el equipo deberían ser responsables de lo ocurrido. Y añadió,
“Cuando se nos pide que asumamos la responsabilidad, es realmente inapropiado.”
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión
Sigue leyendo:
- Cripto Twitter reacciona mientras el gobierno ruso revisa el proyecto de ley de criptomonedas finalizado
- Tornado Cash está utilizando los oráculos de Chainalysis para bloquear el acceso desde direcciones sancionadas por la OFAC
- El presidente Biden anuncia que ex asesor de Ripple será el elegido para la vicepresidencia de supervisión de la Fed
- La impresionante historia de los altibajos de Bitcoin
- Un venezolano utiliza Bitcoin para esquivar la hiperinflación y pagar por el nacimiento de su hijo
- Una 'start-up' en EE. UU. recauda USD 3,5 millones de Pantera y otros para lanzar un exchange descentralizado en LN
- MetaMask les advierte a los usuarios de Apple sobre los ataques de phishing en iCloud