ETH:只要票數夠多，惡意提案可卷走數億資產！Beanstalk Farm 攻擊事件分析_YBEAR

北京時間2022年4月17日，CertiK審計團隊監測到Beanstalk協議被惡意利用，導致24,830ETH和36,398,226BEAN遭受損失。攻擊者創建了一個惡意提案，通過閃電貸獲得了足夠多的投票，并執行了該提案，從而從協議中竊取了資產。目前，攻擊者已將所有的ETH轉移到了TornadoCash。

攻擊步驟

攻擊前黑客的準備行動：攻擊者將一些BEAN代幣存入Beanstalk，用以創建惡意提案"InitBip18"。該提案一旦生效，將把協議中的資產轉移給攻擊者。正式發起攻擊流程：①攻擊者閃電貸了3.5億Dai、5億USDC、1.5億USDT、3200萬Bean和1160萬LUSD。②閃電貸的資產被轉換為795,425,740BEAN3Crv-f和58,924,887BEANLUSD-f。③攻擊者將步驟中獲得的所有資產存入Diamond合約，并投票給惡意的BIP18提案。④函數emergencyCommit()被立即調用以執行惡意的BIP18提案。⑤在步驟3和4之后，攻擊者能夠竊取合約中的36,084,584BEAN,0.54UNIV2(BEAN-WETH),874,663,982BEAN3Crv及60,562,844BEANLUSD-f。⑥攻擊者利用在步驟5中竊取的資產來償還閃電貸，并獲得了其余的24,830WETH和36,398,226BEAN作為利潤。

安全團隊：BSC鏈上Level Finance被盜資金目前仍存放在攻擊者地址內:金色財經報道，根據區塊鏈安全審計公司Beosin旗下的Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，2023年5月2日BSC鏈上的Level__Finance 項目被攻擊，損失資金高達一百萬美元。通過分析代碼得知，攻擊者地址0x61bb...12e創建了攻擊合約0xf08a...629，隨后利用攻擊合約調用了被攻擊合約0x9770...63a的claimMultiple函數，由于被攻擊合約在users獎勵計算后沒有進行對應的users賬本清除，導致同一個epoch的claimed獎勵可以被反復領取。攻擊者多次調用函數使用同一個epoch來反復領取Level Token，隨后將領取的Level Token在多個pair中swap成3345個BNB(約109萬美元)，被盜資金目前仍存放在攻擊者地址內(0x70319d1c09e1373fc7b10403c852909e5b20a9d5)，Beosin將持續對被盜資金監控。[2023/5/2 14:38:03]

漏洞分析

Signum Digital宣布其證券代幣發售和認購平臺獲香港證監會原則上批準:3月17日消息，數字資產咨詢公司Coinstreet Holdings和香港金融集團Somerley Capital Holdings（新百利融資）的合資企業Signum Digital宣布，其證券代幣發售和認購平臺已獲得香港證券及期貨事務監察委員會的原則上批準。

Signum Digital計劃為專業投資者提供一個證券代幣平臺，這些代幣在區塊鏈上交易并與各種資產類別相關聯，例如私募股權、房地產、藝術品和收藏品。在獲得香港證監會的最終批準后，Signum將以“CS-Pro”品牌運營該平臺。據Signum稱，該平臺將是香港首個此類平臺。[2023/3/17 13:10:32]

該漏洞的根本原因：

歐易Web3錢包與多鏈加密資產借貸協議ForTube達成合作:據OKX Web3推特消息，歐易Web3錢包與多鏈加密資產借貸協議ForTube達成官方合作關系。通過新的集成，歐易Web3錢包用戶可以通過Discover板塊搜索并進入ForTube，進行加密資產借貸并賺取收益。

據悉，歐易Web3錢包是全面的異構多鏈錢包，內置NFT市場、跨鏈Swap、賺幣，DApp探索4大板塊，能夠滿足用戶一站式Web3需求。[2023/1/10 11:03:51]

Silo系統中用于投票的BEAN3Crv-f和BEANLUSD-f?可以通過閃電貸獲得。然而，由于Beanstalk協議中缺乏反閃電貸機制，攻擊者可以借用該協議所支持的眾多代幣從而為惡意提案投票。

美元指數DXY站上110關口，續創20年新高:金色財經消息，美元指數DXY站上110關口，續創20年新高。[2022/9/2 13:03:13]

攻擊者如何繞過驗證：

為了通過"emergencyCommit()"執行提案，攻擊者需要繞過以下驗證。

驗證一：確保BIP被提出后，有24小時的窗口期。驗證二：確保對某一特定BIP的投票比例不低于閾值，即?。由于BIP18提案是在一天前創建，因此驗證一可被繞過；通過閃電貸，BIP18提案獲得了78%以上的投票，超過了67%，因此繞過了驗證二。

資產去向

其他細節

漏洞交易

BIP18提案：https://etherscan.io/tx/0x68cdec0ac76454c3b0f7af0b8a3895db00adf6daaf3b50a99716858c4fa54c6f執行BIP18：https://etherscan.io/tx/0xcd314668aaa9bbfebaf1a0bd2b6553d01dd58899c508d4729fa7311dc5d33ad7合約地址

受害者合約：https://etherscan.io/address/0xc1e088fc1323b20bcbee9bd1b9fc9546db5624c5#code攻擊者合約：https://etherscan.io/address/0x1c5dcdd006ea78a7e4783f9e6021c32935a10fb4惡意提案：https://etherscan.io/address/0xe5ecf73603d98a0128f05ed30506ac7a663dbb69攻擊者初始資金活動：https://arbiscan.io/address/0x71a715ff99a27cc19a6982ae5ab0f5b070edfd35https://debank.com/profile/0x1c5dcdd006ea78a7e4783f9e6021c32935a10fb4/history

?寫在最后

通過審計，我們可以發現閃電貸可用于操縱投票這一風險因素。攻擊發生后，CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時，CertiK也會在未來持續于官方公眾號發布與項目預警相關的信息。

Tags：BEABIPETHHTTYBEARMobipadethylacetateBHTT

MEXC