作者:茉莉,蜂巢Tech
作者:茉莉,蜂巢Tech
北京時間4月17日晚10時許,去中心化穩定幣協議Beanstalk披露「遭受了攻擊」。據多家區塊鏈安全機構披露的信息,該協議遭受了閃電貸攻擊,損失了超1億美元的加密資產,攻擊者從中獲利近8000萬美元。
一級標題
一級標題
一級標題
圖片描述
圖片描述
圖片描述
BEAN在13分鐘內嚴重脫錨
Beanstalk在推特上披露遭受攻擊的時間是4月17日晚10時30分許,但從該協議支撐的穩定幣BEAN的脫錨時間看,當晚8點39分後,厄運就開始了。 Coingecko數據顯示,8點39分時,原本錨定1美元的BEAN開始下跌,13分鐘後,BEAN跌至0.2美元,跌幅達80%,而當晚,BEAN一度跌至0.063美元,最大跌幅為93.7% 。
多家安全機構分析確認,Beanstalk遭遇了閃電貸攻擊。區塊鏈安全機構PeckShield追踪了這次攻擊的數據稱,攻擊者盜取了至少8000萬美元的加密貨幣。另據安全機構CertiK披露,閃電貸攻擊耗盡了Beanstalk約1億美元的加密資產。
Beanstalk後續發佈在其Discord社群內容顯示,攻擊者在藉貸平台Aave上完成閃電貸,從而積累了大量該協議的治理代幣STALK;借助STALK,攻擊者快速通過了一項「惡意治理提案」 ,從而將協議內的資金轉移。
一級標題
一級標題
一級標題
閃電貸攻擊和漏洞利用最常威脅DeFi
Beanstalk攻擊事件後,區塊鏈安全機構CertiK也在推特上表示,黑客能夠完成攻擊的根本原因是Beanstalk系統中用於投票的資金池可以通過閃電貸來創建,缺乏防閃電貸機制導致攻擊者能夠借用協議支持的代幣並用投票的方式通過了惡意提案。
Beanstalk在事發後的Discord總結中也承認,協議「沒有使用防閃貸措施來確定投票支持BIP的STALK百分比」,這正是被黑客利用的漏洞。
閃電貸本身是構建在區塊鏈上的、獨屬於DeFi金融系統中加密資產貸款方式,它是一種無抵押貸款類型,具有能在鏈上快速執行的特點,常常被加密資產愛好者用於套利、抵押品交換或尋求低交易費用。
但這種借貸方式因數次成為攻擊目標而被統稱為「閃電貸攻擊」,它是由於DeFi 對價格預言機的依賴而引起的,區塊鏈數據服務機構Chainalysis解釋,「安全但緩慢的預言機很容易被套利;快速但不安全的預言機很容易受到價格操縱。」
據公開資料顯示,僅2020年的60起DeFi攻擊事件中,至少有10起事件的損失系閃電貸攻擊所致,包括bZx、Balancer、Harvest、Akropolis等協議都遭受過閃電貸攻擊。
而藉閃電貸影響DeFi投票治理的事件也並不是沒有出現過,2020年,一個名為BProtocol 協議的就曾通過閃電貸獲得大量MKR代幣,試圖通過借貸來的選票加快其通過基於MakerDAO 的投票結果。
進入2022年,漏洞利用和閃電貸攻擊仍是DeFi領域最常見的威脅。
今年4月,區塊鏈安全機構成都鏈安發布的《安全研究季報》顯示,2022年第一季度的區塊鏈領域,DeFi項目仍是黑客攻擊的重點領域,共發生19起安全事件,約60%的攻擊發生在DeFi領域;而在攻擊手法上,合約漏洞利用和閃電貸最為常見,約50%的攻擊方式為合約漏洞利用,24%的攻擊方式為閃電貸。
如今,Beanstalk的安全事件顯示,黑客發起的閃電貸攻擊已經不僅僅局限於利用預言機來操縱價格了,一旦協議設置的防線不足,治理機制的漏洞也可能被黑客利用,通過閃電貸來破壞協議的安全,偷走用戶的資產。
