במהירות הבזק: 182 מיליון ד’ נלקחו עקב פרצת אבטחה בפרוטוקול Beanstalk

הניצול בוצע באמצעות הלוואת בזק והוא המקרה השני תוך חודש של פרצות במערכות כלכלה מבוזרת (DeFi) לגניבות בסכומים של תשע ספרות מפרוטוקולי סטייבלקוינס.
182 מיליון דולר ניצול פרוטוקול BEAN

בינסטוק (Beanstalk) הוא פרוטוקול מבוסס אתריום למסחר במטבעות יציבים. על פי חברת אבטחת רשתות הבלוקצ’יין, פק שילד (PeckShield), הפרוטוקול נפרץ ונגנבו ממנו לפחות 80 מליון דולר, אך ככל הנראה ההפסדים הכוללים לפרוטוקול עצמו גבוהים בהרבה. בעקבות הפריצה לבינסטוק קרס שוק המטבע היציב שלה, BEAN ואיבד 86% מהמחיר הצמוד שלו מול הדולר.

איך בוצע הניצול?

ניצול חולשת הקוד בוצע בעזרת הלוואת בזק שניתנה על פלטפורמת ההלוואות Aave ואיפשרה לפורץ לצבור כמות גדולה של Stalk, שהוא מטבע הממשל של בינסטוק. מטבע זה מאפשר למחזיקים בו להצביע לטובת ביצוע פעולות ושינויים בפרוטוקול עצמו. לכן, בעזרת כוח ההצבעה שניתן לפורץ, הוא הצליח לבצע פעולה שתאפשר שינוי קוד בפרוטוקול שיאפשר לו לרוקן חלק נכבד מהנזילות הקיימת בו. אותם מטבעות שנגנבו, הועברו מיד לארנק אתריום פרטי.

הלוואת הבזק

הלוואת בזק היא הלוואה שבה הלווה אינו צריך להציג בטחונות בתמורה לקבלת ההלוואה. המנגנון המאפשר קבלת הלוואה ללא בטחונות מתבסס על כך שגם קבלת ההלוואה וגם החזרתה מתבצעות בפרק הזמן הקצר של טרנסקציה יחידה על רשת בלוקצ’יין. במקרה שהלווה לא מחזיר את ההלוואה לפני סיום הטרנסאקציה ההלוואה מבוטלת כאילו לא הייתה.

בזמן הקצר בין קבלת ההלוואה להחזרתה הלווה בדרך כלל מבצע עסקת עסקת ארביטראז’ מהירה, כלומר קונה בזול בשוק אחד ומוכר ביוקר בשוק אחר. הוא מספיק להחזיר את ההלוואה בזמן ושומר לעצמו את הרווח.

מודים בטעויות

החברה האחראית על פרוטוקול בינסטוק מסרה כי הם אכן לא השתמשו באמצעי זהירות כנגד הלוואות בזק כדי לקבוע את אחוז מטבעות Stalk הנחוצים לצורך קבלת כוח הצבעה המאפשר ביצוע פעולות מהותיות בפרוטוקול. החוזים החכמים של בינסטוק אמנם עברו ביקורת על ידי חברת אבטחת הבלוקצ’יין Omnicia, אך ביקורת זו התבצעה לפני שנמצאה נקודת התורפה שאותה ניצל הפורץ. החברה לא מסרה פרטים בנוגע לפיצוי המשתמשים.

מחברת פק שילד נמסר כי נראה שהפורץ או הפורצים תרמו 250 אלף דולר מהסכום שנגנב לקרן תמיכה באוקראינה המבוססת על מטבעות דיגיטליים.

לא הפעם הראשונה

המקרה של בינסטוק הוא מקרה נוסף שמצטרף לשורה של פריצות וניצולי פרוטוקולי כלכלה מבוזרת (Defi), אשר בוצעו בתקופה האחרונה. במרץ השנה נגנבו מעל 600 מליון דולר במטבעות דיגיטליים מרשת Ronin בפריצה שגורמים אמריקאים רשמיים מאשימים בה את קוריאה הצפונית.

עוד במרץ השנה, 28 מליון דולר נגנבו כאשר Cashio, פרויקט המטבע היציב המבוסס על רשת סולאנה, קרס וצנח לאפס לאחר שפורצים ניצלו אפשרות להטבעה אינסופית של מטבעות.

בשנת 2021 נגנבו מעל 8 מליארד דולר במטבעות דיגיטליים ממערכות כלכלה מבוזרת, בורסות ונותני שירותים ריכוזיים באמצעות סוגים שונים של הונאות ופריצות. על פי קצב האירועים בחודש האחרון נראה כי שנת 2022 עלולה להביא עמה מספרים דומים ואף סוגים חדשים של מטרות לפריצה וניצול “חורים” בקוד.

שתפו:

שיתוף ב email
שיתוף ב facebook
שיתוף ב whatsapp
שיתוף ב telegram
שיתוף ב twitter
פיני שרגיל בן סירה

פיני שרגיל בן סירה

פיני הוא איש הייטק בעברו, שמגיע מתחום הכתיבה, ניהול התוכן והתקשורת השיווקית. לאחרונה החל את דרכו במרחב המרתק והאינסופי של הקריפטו. מתעניין באופן בו הרעיונות והטכנולוגיות של עולמות הבלוקצ'יין והקריפטו ישפיעו על מבני הכוח החברתיים והכלכליים בעולם.
פיני שרגיל בן סירה

פיני שרגיל בן סירה

פיני הוא איש הייטק בעברו, שמגיע מתחום הכתיבה, ניהול התוכן והתקשורת השיווקית. לאחרונה החל את דרכו במרחב המרתק והאינסופי של הקריפטו. מתעניין באופן בו הרעיונות והטכנולוגיות של עולמות הבלוקצ'יין והקריפטו ישפיעו על מבני הכוח החברתיים והכלכליים בעולם.

כתיבת תגובה

האימייל לא יוצג באתר.

cropped-logo-cryptojungle-2.png

להתחברות מלאו שם משתמש וסיסמה

פופ-אפ-קורס-זום-קריפטו1

מסלולי ההכשרה של CryptoJungle

מעוניינים ללמוד לסחור ולהשקיע בשוק המטבעות הדיגיטליים?

מצויין, מלאו פרטים ונחזור אליכם בהקדם!

הצטרפו עוד היום לקורס ולקהילת המסחר וההשקעה המקצועיים שלנו