Toute la liquidité du protocole Beanstalk (BEAN) a été vidé par un hacker. Sous couvert d’une proposition de donation pour l’Ukraine, le hacker a pu faire valider un contrat malicieux par la DAO. Il est à noter que le contrat a bien fait ce qu’il disait, et le hacker a bien donné 250.000 dollars à l’adresse du portefeuille des dons pour l’Ukraine. Malheureusement, le contrat contenait des instructions supplémentaires, qui ont pu être activées le lendemain, quand le hacker a fait son flash loan (un mécanisme qui permet d’emprunter beaucoup d’argent pour le rembourser très rapidement ensuite, une attaque flash se déroule sur un ou deux blocs et l’emprunteur paie les “frais” avec ce qu’il vient de voler).
Grâce à ce flash loan le hacker a pu acheter des tokens de gouvernance afin d’exécuter le contrat BIP18 et de retirer les fonds de tout le protocole, normalement verrouillés et inatteignables. Avec ces fonds, le hacker a pu rembourser les frais de son flash loan (le prêt).
Ici le déroulement des opérations par l’agence de sécurité blockchain PeckShield =>
2/ The hack is made possible due to the flashloan-assisted (immediate) pass of BIP18, which was submitted one day ago (https://t.co/4TocPkMna0). The BIP18 leads to the crafted code execution with the governance privilege to drain the pool fund. pic.twitter.com/qLYk7jhTCG
— PeckShield Inc. (@peckshield) April 17, 2022
4/ The initial funds to launch the hack are withdrawn from @SynapseProtocol and most of the result gains are deposited to @TornadoCash. Currently 15,154 ETH still stays in the hacker’s account. Note the hacker donates 250k USDC to Ukraine Crypto Donation. pic.twitter.com/jBjUJ0JbGj
— PeckShield Inc. (@peckshield) April 17, 2022
Le hacker a ensuite fait transiter les 78 millions de dollars d’Ethereum dérobés avec le mixeur Tornado Cash (explications plus en detail dans cet article), 100 eth par 100 eth.
Autant dire que le stable coin Bean a complètement dévissé (ca n’arrive pas qu’aux autres !).
Un des responsables du projet a déclaré n’avoir aucun palliatif à ce gigantesque hack étant donné que le projet ne bénéficiait d’aucun soutien financier institutionnel.
Ce hack rentre dans le top10 des attaques les plus importantes de l’histoire de la finance décentralisée (DeFi) dont la liste se trouve sur le site https://rekt.news/leaderboard/, qui contient également d’excellent post-mortem (explications détaillées sur les évènements).