בינסטוק (Beanstalk) הוא פרוטוקול מבוסס אתריום למסחר במטבעות יציבים. על פי חברת אבטחת רשתות הבלוקצ'יין, פק שילד (PeckShield), הפרוטוקול נפרץ ונגנבו ממנו לפחות 80 מליון דולר, אך ככל הנראה ההפסדים הכוללים לפרוטוקול עצמו גבוהים בהרבה. בעקבות הפריצה לבינסטוק קרס שוק המטבע היציב שלה, BEAN ואיבד 86% מהמחיר הצמוד שלו מול הדולר.
איך בוצע הניצול?
ניצול חולשת הקוד בוצע בעזרת הלוואת בזק שניתנה על פלטפורמת ההלוואות Aave ואיפשרה לפורץ לצבור כמות גדולה של Stalk, שהוא מטבע הממשל של בינסטוק. מטבע זה מאפשר למחזיקים בו להצביע לטובת ביצוע פעולות ושינויים בפרוטוקול עצמו. לכן, בעזרת כוח ההצבעה שניתן לפורץ, הוא הצליח לבצע פעולה שתאפשר שינוי קוד בפרוטוקול שיאפשר לו לרוקן חלק נכבד מהנזילות הקיימת בו. אותם מטבעות שנגנבו, הועברו מיד לארנק אתריום פרטי.
הלוואת הבזק
הלוואת בזק היא הלוואה שבה הלווה אינו צריך להציג בטחונות בתמורה לקבלת ההלוואה. המנגנון המאפשר קבלת הלוואה ללא בטחונות מתבסס על כך שגם קבלת ההלוואה וגם החזרתה מתבצעות בפרק הזמן הקצר של טרנסקציה יחידה על רשת בלוקצ'יין. במקרה שהלווה לא מחזיר את ההלוואה לפני סיום הטרנסאקציה ההלוואה מבוטלת כאילו לא הייתה.
בזמן הקצר בין קבלת ההלוואה להחזרתה הלווה בדרך כלל מבצע עסקת עסקת ארביטראז' מהירה, כלומר קונה בזול בשוק אחד ומוכר ביוקר בשוק אחר. הוא מספיק להחזיר את ההלוואה בזמן ושומר לעצמו את הרווח.
מודים בטעויות
החברה האחראית על פרוטוקול בינסטוק מסרה כי הם אכן לא השתמשו באמצעי זהירות כנגד הלוואות בזק כדי לקבוע את אחוז מטבעות Stalk הנחוצים לצורך קבלת כוח הצבעה המאפשר ביצוע פעולות מהותיות בפרוטוקול. החוזים החכמים של בינסטוק אמנם עברו ביקורת על ידי חברת אבטחת הבלוקצ'יין Omnicia, אך ביקורת זו התבצעה לפני שנמצאה נקודת התורפה שאותה ניצל הפורץ. החברה לא מסרה פרטים בנוגע לפיצוי המשתמשים.
מחברת פק שילד נמסר כי נראה שהפורץ או הפורצים תרמו 250 אלף דולר מהסכום שנגנב לקרן תמיכה באוקראינה המבוססת על מטבעות דיגיטליים.
לא הפעם הראשונה
המקרה של בינסטוק הוא מקרה נוסף שמצטרף לשורה של פריצות וניצולי פרוטוקולי כלכלה מבוזרת (Defi), אשר בוצעו בתקופה האחרונה. במרץ השנה נגנבו מעל 600 מליון דולר במטבעות דיגיטליים מרשת Ronin בפריצה שגורמים אמריקאים רשמיים מאשימים בה את קוריאה הצפונית.
עוד במרץ השנה, 28 מליון דולר נגנבו כאשר Cashio, פרויקט המטבע היציב המבוסס על רשת סולאנה, קרס וצנח לאפס לאחר שפורצים ניצלו אפשרות להטבעה אינסופית של מטבעות.
בשנת 2021 נגנבו מעל 8 מליארד דולר במטבעות דיגיטליים ממערכות כלכלה מבוזרת, בורסות ונותני שירותים ריכוזיים באמצעות סוגים שונים של הונאות ופריצות. על פי קצב האירועים בחודש האחרון נראה כי שנת 2022 עלולה להביא עמה מספרים דומים ואף סוגים חדשים של מטרות לפריצה וניצול "חורים" בקוד.
