Beanstalk加密货币项目在黑客投票给自己发送1.82亿美元后被抢

周日，一名攻击者设法从豆茎农场（Beanstalk Farms）中抽取了约1.82亿美元的加密货币。豆茎农场是一个分散金融（DeFi）项目，旨在平衡不同加密货币资产的供需。值得注意的是，该攻击利用了Beanstalk的多数票管理系统，这是许多DEF协议的核心功能。

区块链分析公司PeckShield周日上午发现了此次攻击，该公司估计黑客的净利润约为被盗资金总额的8000万美元，减去执行攻击所需的部分借入资金。

Beanstalk不久后在推特上承认了此次袭击，称他们正在“调查袭击事件，并将尽快向社区发布公告”

Beanstalk将自己描述为一个“分散的基于信用的stablecoin协议”它运行着一个系统，参与者通过向中央资金池（称为“思洛”）捐款来获得奖励，该资金池用于平衡一个令牌（称为“bean”）的价值，接近1美元。

与许多其他DeFi项目一样，Beanstalk的创建者（一个名为Publius的开发团队）包括一个治理机制，参与者可以在该机制中对代码的更改进行集体投票。然后，他们将获得与其持有的代币价值成比例的投票权，从而造成一个漏洞，这将被证明是项目的失败。

另一款名为“快闪贷款”的DeFi产品使攻击成为可能，该产品允许用户在很短的时间内（几分钟甚至几秒钟）借入大量加密货币。快速贷款旨在提供流动性或利用价格套利机会，但也可用于更邪恶的目的。

根据区块链安全公司CertiK的分析，Beanstalk攻击者利用通过分散协议Aave获得的闪电贷款，借入近10亿美元的加密货币资产，并将这些资产交换为足够的bean，以获得该项目67%的投票权。有了这一超级多数股权，他们能够批准执行将资产转移到自己钱包中的代码。攻击者随后立即偿还了闪电贷款，净赚8000万美元。

根据Aave快闪贷款的持续时间，整个过程在13秒内完成。

CertiK首席执行官兼联合创始人顾荣辉（Ronghui Gu）表示：“今年，我们看到闪电贷款攻击有增加的趋势。”。“这些攻击进一步强调了安全审计的重要性，并且在编写Web3代码时也受到了有关安全问题陷阱的教育。”

如果实施得当，DeFi服务将受益于区块链的所有安全性，但其复杂性会使代码难以完全审核，使此类项目成为黑客的诱人目标。在Beanstalk黑客事件中，Publius团队承认，他们没有包括任何条款来减轻闪电贷款攻击的可能性，尽管在情况发生之前，这可能并不明显。

截至发稿时，尚未收到评论请求（通过Discord发送给Publius团队）。

加密货币借贷平台边缘金融首席技术官布莱恩·帕斯菲尔德表示，分散的治理结构（即DAO）也可能产生问题。

Pasfield说：“DAO治理目前在DeFi中呈上升趋势。”。“虽然这是分权过程中的一个必要步骤，但应该逐步进行，并仔细权衡所有可能的风险。开发人员和管理员应该意识到开发人员或DAO成员可能故意或意外造成的新故障点。”

对于失去押注硬币的豆茎投资者来说，可能没有多少追索权。在黑客攻击发生后立即发布的一条消息中，Beanstalk创始人写道，该项目“极不可能”得到救助，因为它不是在VC的支持下开发的，并补充道“我们完蛋了”