BIP:Beanstalk Farm攻击事件分析：只要票数足够多，恶意提案也可卷走数亿资产_htt币局

北京时间2022年4月17日，CertiK审计团队监测到Beanstalk协议被恶意利用，导致24,830ETH和36,398,226BEAN遭受损失。攻击者创建了一个恶意提案，通过闪电贷获得了足够多的投票，并执行了该提案，从而从协议中窃取了资产。目前，攻击者已将所有的ETH转移到了TornadoCash。

该提案一旦生效，将把协议中的资产转移给攻击者。

正式发起攻击流程：

①攻击者闪电贷了3.5亿Dai、5亿USDC、1.5亿USDT、3200万Bean和1160万LUSD。

②闪电贷的资产被转换为795,425,740BEAN3Crv-f和58,924,887BEANLUSD-f。

数据：四月以太坊链上NFT交易量的市场份额达到96%:金色财经报道，根据最新披露的四月NFT数据显示，上个月以太坊占据了NFT交易量的最大份额，市场份额高达96%。然而在链上NFT活跃用户方面，以太坊仅占44%，Polygon紧随其后，占比为37%。虽然以太坊仍然是大多数主流NFT项目的首选平台，但其网络拥堵和高额交易费用可能会促使一些用户转向替代平台。在NFT市场方面，四月Blur在交易量方面仍然具有绝对优势。不过从交易笔数来看，OpenSea还是占据上风。Blur的优势地位表明它更适合高价值资产和交易规模较大的专业用户。另一方面，OpenSea的交易更松散，交易规模更小，更适合零售用户和小额日常交易。此外，四月NFT市场投融资交易总计11笔，较三月份的8笔有所增长。（cryptoslate）[2023/5/15 15:03:48]

③攻击者将步骤中获得的所有资产存入Diamond合约，并投票给恶意的BIP18提案。

DeFi平台Balanced发布四月路线图：将在主网上激活持续奖励:4月8日消息，据官方消息，DeFi平台Balanced发布四月路线图，主要目标包括：完成Balanced前端的多语言支持；将所有剩余的Java合约部署到主网；在主网上激活持续奖励；将协议拥有的流动性合约部署到主网（因疫情延迟）；为Trade页面发布高级TradingView功能；部署多调用智能合约，与Balanced前端集成；继续开发一个新的Balanced网站登录页面。[2022/4/8 14:11:38]

④函数emergencyCommit()被立即调用以执行恶意的BIP18提案。

动态 | 今日恐慌指数为35 恐慌程度继续缓解:据Alternative.me数据显示，今日恐慌指数为35（昨日为31），恐慌程度继续缓解，恐慌等级为恐慌。[2019/1/20]

⑤在步骤3和4之后，攻击者能够窃取合约中的36,084,584BEAN,0.54UNIV2(BEAN-WETH),874,663,982BEAN3Crv及60,562,844BEANLUSD-f。

漏洞分析

该漏洞的根本原因：

Silo系统中用于投票的BEAN3Crv-f和BEANLUSD-f?可以通过闪电贷获得。然而，由于Beanstalk协议中缺乏反闪电贷机制，攻击者可以借用该协议所支持的众多代币从而为恶意提案投票。

攻击者如何绕过验证：

为了通过"emergencyCommit()"执行提案，攻击者需要绕过以下验证。

验证一：确保BIP被提出后，有24小时的窗口期。

验证二：确保对某一特定BIP的投票比例不低于阈值，即?。

由于BIP18提案是在一天前创建，因此验证一可被绕过；通过闪电贷，BIP18提案获得了78%以上的投票，超过了67%，因此绕过了验证二。

漏洞交易BIP18提案：https://etherscan.io/tx/0x68cdec0ac76454c3b0f7af0b8a3895db00adf6daaf3b50a99716858c4fa54c6f

执行BIP18：https://etherscan.io/tx/0xcd314668aaa9bbfebaf1a0bd2b6553d01dd58899c508d4729fa7311dc5d33ad7

受害者合约：https://etherscan.io/address/0xc1e088fc1323b20bcbee9bd1b9fc9546db5624c5#code

攻击者合约：https://etherscan.io/address/0x1c5dcdd006ea78a7e4783f9e6021c32935a10fb4

恶意提案：https://etherscan.io/address/0xe5ecf73603d98a0128f05ed30506ac7a663dbb69

攻击者初始资金活动：https://arbiscan.io/address/0x71a715ff99a27cc19a6982ae5ab0f5b070edfd35

https://debank.com/profile/0x1c5dcdd006ea78a7e4783f9e6021c32935a10fb4/history

写在最后

通过审计，我们可以发现闪电贷可用于操纵投票这一风险因素。

攻击发生后，CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时，CertiK也会在未来持续于官方公众号发布与项目预警相关的信息。

郑重声明： 本文版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。