Сегодня был творчески взломан Defi-протокол Beanstalk Farms!

Самое интересное здесь, это КАК взлом был осуществлен. Простота, граничащая с гениальностью...

Итак, шаг первый.

Хакер создает предложение по управлению Beanstalk-Improvement-Proposal-18, в котором вписано пожертвование Украине $250,000.

Шаг второй.

Хакер, используя механизм мгновенных займов, получает свыше $1млрд у Uniswap, SushiSwap и Aave в различных токенах, включая, но не ограничиваясь: USDC, USDT, DAI.

Шаг третий.

Хакер вносит эти средства в пул ликвидности BEAN, благодаря чему получает токены управления Stalk, с помощью которых проводится голосование внутри сети.

Шаг четвертый.

Получив подавляющее большинство токенов Stalk, хакер развертывает свое предложение BIP-18, которое переводит все деньги из протокола ($181млн) на сторонний кошелек.

Шаг пятый.

Хакер выводит все ранее внесенные средства из пула ликвидности BEAN, погашает свой мгновенный займ и оставшуюся разницу в $76млн конвертирует в 24800 WETH. При этом, как и было указано в сделанном им предложении, 250000 USDC были отправлены в фонд Украины (пруф прилагается в телеграм-канале Crypto Consult Group, подписывайтесь чтобы следить за продолжением этой истории).

Шаг шестой.

Хакер прогоняет свои 24800 WETH через сервис микширования транзакций Tornado Cash и больше не появляется.