Hackerato Beanstalk, rubati 80 milioni di dollari
Hackerato Beanstalk, rubati 80 milioni di dollari
DeFi

Hackerato Beanstalk, rubati 80 milioni di dollari

By Marco Cavicchioli - 19 Apr 2022

Chevron down
Ascolta qui
download

Nel fine settimana il protocollo decentralizzato Beanstalk ha subito un attacco hacker da 80 milioni di dollari.

L’attacco hacker alla piattaforma DeFi Beanstalk

beanstalk
Attacco hacker ai danni del protocollo DeFi Beanstalk

Gli attaccanti hanno sfruttato una falla nel protocollo, provocando una perdita di 180 milioni di dollari in criptovalute. In seguito però sono riusciti ad incassarne solamente 80 milioni a causa del crollo del valore del token BEAN. 

Infatti rispetto al valore pre-hack BEAN ha perso più del 90% in circa due ore, riducendo al tempo stesso anche il guadagno reale degli hacker. 

Questi erano riusciti a sottrarre 24.830 ETH ed oltre 36 milioni di BEAN, la stablecoin del protocollo Beanstalk. 

Il valore attuale degli ETH rubati è di circa 75,5 milioni di dollari, mentre i BEAN sottratti inizialmente avevano un valore di circa 36 milioni di dollari, ora scesi ad un decimo. 

I token rubati sono stati riciclati utilizzando il mixing di Tornado Cash.

Pertanto la perdita complessiva per il protocollo Beanstalk rimane di circa 180 milioni di dollari, mentre l’incasso netto degli hacker è stato di 80 milioni. I 100 milioni mancanti si devono complessivamente alla perdita di valore dei token BEAN, visto che la sua capitalizzazione di mercato è passata da 109 milioni di dollari prima dell’hack agli attuali 6,6 milioni. 

La strategia degli hacker

L’amministratore del server Discord di Beanstalk, Publius, ha poi spiegato che gli hacker avevano aperto un flash loan su Aave con cui avevano acquistato una grande quantità del token di governance nativo di Beanstalk, STALK.

Così facendo sono riusciti ad arrivare a possedere oltre il 67% di tutti i token di governance, ovvero la maggioranza assoluta dei voti, con cui hanno di fatto imposto una modifica alla governance decentralizzata del protocollo con cui tutti gli asset immobilizzati sullo smart contract di Beanstalk venivano trasferiti su un loro wallet.

I protocolli decentralizzati con governance decentralizzata danno inevitabilmente a chi dovesse detenere la maggioranza assoluta dei token di governance il potere di far approvare qualsiasi modifica alle regole del protocollo. È come se, in questo modo, qualcuno potesse prendere pieno controllo del protocollo stesso. 

A quel punto una delle cose che può fare chi detiene la maggioranza assoluta dei voti è proprio quella di imporre nuove regole che consentono il trasferimento dei fondi ai propri wallet. 

Se da un lato questo tipo di attacco ha fatto perdere enorme valore di mercato ai token nativi del protocollo, non ha però avuto impatto sul collaterale, tanto che mentre il valore di BEAN crollava del 90% in poche ore, quello di ETH addirittura stava salendo. 

Oltretutto ETH capitalizza 367 miliardi di dollari, ovvero più di tremila volte la capitalizzazione di mercato di BEAN. 

Beanstalk non disponeva di adeguate misure per resistere ad attacchi di questo tipo finanziati con flash-loan, quindi l’hacker ha potuto sfruttare questa falla nel protocollo. 

Va ricordato che i flash loan consentono di prendere in prestito anche quantità molto elevate di token senza dover immobilizzare garanzie, perché si autoestinguono correttamente nel momento in cui vengono creati. 

Il problema quindi non sta nei flash loan su Aave, ma proprio nella mancanza di adeguate misure di prevenzione da attacchi simili in protocolli DeFi non ampiamente sperimentati e consolidati. BEAN ad esempio fece la comparsa sui mercati crypto meno di un anno fa. 

In questo momento non è noto se il protocollo Beanstalk potrà riprendere a funzionare correttamente, ovvero se il valore di BEAN potrà tornare sulla parità con il dollaro. 

Marco Cavicchioli

"Classe 1975, Marco è stato il primo a fare divulgazione su YouTube in Italia riguardo Bitcoin. Ha fondato ilBitcoin.news ed il gruppo Facebook "Bitcoin Italia (aperto e senza scam)".

Utilizziamo i cookie per essere sicuri che tu possa avere la migliore esperienza sul nostro sito. Se continui ad utilizzare questo sito noi assumiamo che tu ne sia felice.