Beanstalk Farms攻击事件分析：恶意提案如何防范？-ODAILY

2022年4月17日，成都链安链必应-区块链安全态势感知平台舆情监测显示，算法稳定币项目BeanstalkFarms遭黑客攻击，黑客获利近8000万美元，成都链安技术团队第一时间对事件进行了分析，结果如下。

#1事件相关信息

攻击交易

0xcd314668aaa9bbfebaf1a0bd2b6553d01dd58899c508d4729fa7311dc5d33ad7

攻击者地址

0x1c5dcdd006ea78a7e4783f9e6021c32935a10fb4

攻击合约

0x79224bC0bf70EC34F0ef56ed8251619499a59dEf

被攻击合约

0xc1e088fc1323b20bcbee9bd1b9fc9546db5624c5

Web3风投公司Red Beard Ventures完成2500万美元融资:金色财经报道，Web3 风险投资公司Red Beard Ventures完成一轮2500万美元的融资，投资方包括a16z的Marc Andreessen和Chris Dixon、Web3游戏巨头Animoca Brands、NFT平台SuperRare等知名Web3参与者。

新一轮融资旨在加速 Web3 技术的采用，并支持启动名为 Denarii Labs 的代币经济学加速器项目，该项目是与 Horizen Labs Ventures 的联合倡议。该计划将专注于为那些启动代币项目的人提供咨询服务、每周教育课程、指导、启动支持等。[2023/5/16 15:06:52]

#2攻击流程

1.攻击者从攻击的前一天发起了提案交易,提案通过会提取Beanstalk:BeanstalkProtocol合约中的资金。

匿名币Beam发布Web钱包1.0.0测试版本:8月5日晚间，匿名币Beam官方发布Web钱包1.0.0测试版本。该版本以Chrome扩展形式发布，使Beam更易于访问非托管钱包服务，以及该版本支持第三方集成。[2020/8/6]

2.黑客通过闪电贷换取了350,000,000个DAI，500,000,000个USDC，150,000,000个USDT，32,100,950个BEAN和11,643,065个LUSD作为资金储备。

Beam将在6月28日硬分叉 进军DeFi隐私领域:隐匿币Beam将在6月28日迎来第二次分叉，此次分叉将带来Beam在DeFi隐私领域的亮相。

硬分叉后，Beam会产生一种新的代币，名为“Beam CA”，作为网络中的独立代币运行。CA将与多种资产联系在一起，包括黄金这样的大宗商品和ETH这样的加密货币。届时，锁仓3000枚Beam（约合1400美元）的用户将有机会获得CA。

Beam项目的CTO Alex Romanov表示“作为在Beam区块链上构建一个保密DeFi平台的一部分，我们会推出基于MimbleWimble协议的侧链，也会整合许多无脚本智能合约，以支持托管、担保债务头寸、多方交易和基于预言机的结算。”（BitcoinExchangeGuide）[2020/6/27]

3.黑客将2步骤的DAI，USDC，USDT资金在Curve.fiDAI/USDC/USDT交易池中添加为979,691,328个3Crv流动性代币，用15,000,000个3Crv换来15,251,318个LUSD。

声音 | BeatzCoin CCO呼吁孙宇晨启动TRX销毁 以保证供应量不超过1000亿:BeatzCoin CCO Misha Lederman发推称：“2018年6月26日，波场基金会焚毁了10亿枚TRX，以保持TRX总供应低于1000亿。但同时，超级代表（SR）奖励开始启动并导致总供应量增加。2020年2月2日，TRX的总供应量再次超过了1000亿。孙宇晨，是时候再次焚毁TRX了。”[2020/2/4]

声音 | Status开发人员： Beacon测试网将很快推出:据trustnodes报道，以太坊2.0至少两个客户端的开发人员正在完成PoS Beacon链测试网发布的准备工作。负责Nimbus客户端的Status开发人员Dustin Brody表示，测试网将很快推出。[2019/3/14]

4.将964,691,328个3Crv代币兑换为795,425,740个BEAN3CRV-f用于投票，将32,100,950个BEAN和26,894,383LUSD添加流动性得到58,924,887个BEANLUSD-f流动性代币。

5.使用4步骤中的BEAN3CRV-f和BEANLUSD-f来对提案进行投票，导致提案通过。从而Beanstalk:BeanstalkProtocol合约向攻击合约转入了36,084,584个BEAN，0.54个UNI-V2，874,663,982个BEAN3CRV-f以及60,562,844个BEANLUSD-f。

6.最后攻击者将流动性移除并归还闪电贷，把多余的代币兑换为24830个ETH转入攻击者账户中。

#3漏洞分析

本次攻击主要利用了投票合约中的票数是根据账户中的代币持有量得到的。

攻击者至少在一天前发起提取Beanstalk:BeanstalkProtocol资金的提案，然后调用emergencyCommit进行紧急提交来执行提案，这个就是攻击者1天之前发起攻击准备的原因所在。

#4资金追踪

截止发文时，攻击者获利22029601个USDC，14742429个DAI，6,603,829个USDT与0.5407个UNI-V2，640224美元的BAEN代币资金近8000万，在攻击时将其中的25万USDC捐赠了乌克兰，之后攻击者将资金转换为ETH并将资金持续向Tornado.Cash转移。

针对本次事件，成都链安技术团队建议：

1.投票所用资金应在合约中锁定一定时间，避免使用账户的当前资金余额来统计投票数量，以避免可能出现的反复投票以及使用闪电贷进行投票；

2.项目方和社区应关注所有提案，如果提案是恶意提案，建议在提案投票期间应及时做出处理措施，将提案废弃，禁止其接受投票以及执行；

3.可考虑禁止合约地址参与投票；此外项目上线前最好进行全面的安全审计，规避安全风险。

标签：BEAUSDBEAMSTAbear币市值OUSDYFMoonBeamSTARCHAINDOGE

比特币热门资讯