저자: Jasmine, 하이브 테크
베이징 시간으로 4월 17일 오후 10시에 탈중앙화 스테이블 코인 프로토콜인 Beanstalk가 공격을 받고 있다고 밝혔습니다. 여러 블록체인 보안 기관이 공개한 정보에 따르면 프로토콜은 플래시 대출 공격을 받아 암호화된 자산에서 1억 달러 이상의 손실을 입었고 공격자는 거의 8천만 달러의 이익을 챙겼습니다.
공격 이후 빈스토크 프로토콜 내 암호화 자산의 락업 가치(TVL)는 0으로 돌아갔고, 원래 1달러에 고정됐던 스테이블코인 BEAN은 0.063달러로 떨어졌다.
Discord 커뮤니티에서 Beanstalk의 후속 릴리스는 공격자가 대출 플랫폼 Aave에서 플래시 대출을 완료하여 많은 양의 프로토콜 거버넌스 토큰 STALK를 축적했음을 보여줍니다. , 프로토콜 내에 저장된 모든 자금이 전송됩니다. 이 공격 과정은 다른 블록체인 보안 기관의 분석을 통해 확인되었습니다.
첫 번째 레벨 제목
공격자는 악의적인 제안을 전달하기 위해 플래시 론을 사용합니다.
DefiLlama 데이터에 따르면 4월 16일 Beanstalk 프로토콜에 잠긴 암호화 자산은 여전히 3,200만 달러의 가치가 있었으며, 하루 후 이 가치 지표를 직접 측정하는 TVL은 해커의 공격으로 인해 0이 되었습니다.
이미지 설명
BEAN이 13분 만에 심하게 고정 해제되었습니다.
빈스토크는 지난 4월 17일 오후 10시 30분경 공격을 당했다고 트위터를 통해 밝혔지만 프로토콜이 지원하는 스테이블코인 BEAN의 언앵커링 시간으로 판단하면 그날 밤 8시 39분 이후부터 불운이 시작됐다. 코인게코 데이터에 따르면 8시 39분에 원래 $1에 고정되었던 BEAN이 하락하기 시작하여 13분 후 BEAN은 $0.2로 80% 하락했습니다. 최대 하락률 93.7%. .
여러 보안기관에서 빈스토크가 플래시론 공격을 받았다는 사실을 분석, 확인했다. 공격 데이터를 추적한 블록체인 보안 회사인 PeckShield는 공격자들이 최소 8천만 달러의 암호화폐를 훔쳤다고 밝혔습니다. 보안 기관인 CertiK에 따르면 이 플래시 론 공격으로 Beanstalk의 암호화 자산이 약 1억 달러 손실되었습니다.
Discord 커뮤니티에서 Beanstalk의 후속 릴리스는 공격자가 대출 플랫폼 Aave에서 플래시 대출을 완료하여 많은 양의 프로토콜 거버넌스 토큰 STALK를 축적했음을 보여줍니다. , 계약 내에서 자금을 이체합니다.
블록체인 데이터 분석 기관인 더 블록(The Block)의 데이터 연구 책임자인 이고르 이감베르디예프(Igor Igamberdiev)는 트위터에서 공격 과정을 설명하면서 공격자의 자금이 시냅스 프로토콜 브릿지에서 나왔다고 주장하며 우크라이나에 25만 BEAN을 기부하겠다고 주장했다. 이 제안은 정확히 Beanstalk가 악의적인 제안이라고 부르는 것으로 후속 플래시 대출 공격에 대비합니다.
Igor에 따르면 공격자는 플래시 론을 사용하여 Aave에서 3억 5천만 DAI, 5억 USDC, 1억 5천만 USDT, Uniswap에서 3,200만 BEAN, SushiSwap에서 1,160만 LUSD를 획득했습니다(편집자 주: DAI, USDC, BEAN, LUSD는 USD 스테이블 코인) 이러한 스테이블 코인은 BEAN을 사용하여 Curve 풀에 유동성을 추가하는 데 사용되며 BIP-18 제안에 대한 거버넌스 투표를 수행합니다. 제안이 통과된 후 Beanstalk 프로토콜의 모든 자금이 공격자의 주소로 전송됩니다.
첫 번째 레벨 제목
플래시 론 공격 및 악용은 DeFi를 가장 일반적으로 위협합니다.
빈스토크 공격 이후 블록체인 보안기관 서틱(CertiK) 역시 트위터를 통해 해커가 공격을 완수할 수 있었던 근본 원인은 빈스토크 시스템에서 투표에 사용되는 자금 풀이 플래시론을 통해 생성될 수 있기 때문이라고 밝혔습니다. 프로토콜에 의해 악의적인 제안을 투표로 전달합니다.
Beanstalk는 또한 프로토콜이 BIP에 대한 STALK 투표의 비율을 결정하기 위해 플래시 방지 대출 조치를 사용하지 않았다는 사건 이후 Discord 요약에서 인정했는데, 이는 정확히 해커가 악용한 허점입니다.
플래시론 자체는 블록체인에 구축되어 DeFi 금융 시스템의 암호화된 자산 대출 방식에 속하며, 체인에서 빠르게 실행될 수 있는 무담보 대출의 일종으로 암호화된 자산 매니아들이 자주 사용하는 차익거래, 담보 스왑 또는 낮은 거래 수수료를 찾고 있습니다.
하지만 이런 대출 방식은 여러 차례 표적이 되었기 때문에 플래시론 공격으로 통칭한다. 디파이가 가격 오라클에 의존하고 있기 때문이다. 빠르지만 안전하지 않은 오라클은 가격 조작에 취약합니다.”
공개된 정보에 따르면 2020년에만 발생한 60건의 DeFi 공격 중 bZx, Balancer, Harvest, Akropolis 및 기타 플래시 론 공격을 받은 프로토콜을 포함하여 최소 10건이 플래시 론 공격으로 인해 발생했습니다.
플래시 론이 DeFi 투표 거버넌스에 영향을 미친다는 것은 전례가 없습니다.2020년 BProtocol이라는 프로토콜은 플래시 론을 통해 대량의 MKR 토큰을 획득했으며, 빌린 투표를 통해 MakerDAO를 기반으로 한 투표 속도를 높이려고 했습니다.
2022년에도 익스플로잇과 플래시 론 공격은 여전히 DeFi 공간에서 가장 흔한 위협입니다.
올해 4월 블록체인 보안 조직 Chengdu Lianan이 발표한 보안 연구 분기별 보고서에 따르면 2022년 1분기 블록체인 분야에서 DeFi 프로젝트는 여전히 해커 공격의 핵심 영역이며 총 19개 공격의 약 60%가 DeFi 분야에서 발생했으며, 공격 방식은 컨트랙트 익스플로잇과 플래쉬론이 가장 많았고 약 50%가 컨트랙트 익스플로잇, 플래쉬론이 24%를 차지했다. .
오늘날 Beanstalk의 보안 사건은 해커에 의한 플래시론 공격이 오라클 머신을 사용하여 가격을 조작하는 데만 국한되지 않는다는 것을 보여줍니다. 플래시론 보안을 통해 계약을 파기하고 사용자의 자산을 훔칩니다.
4월 18일 이른 시간에 Beanstalk는 Twitter에서 DeFi 커뮤니티와 온체인 분석 전문가에게 공격자가 중앙 집중식 거래 플랫폼을 통해 자금을 인출할 수 있는 능력을 제한하는 데 도움을 줄 것을 요청했습니다. 보도 시간 현재 계약은 사용자 손실을 처리하는 방법에 대한 답변을 아직 제공하지 않았습니다.
