Beanstalk Farm, protokol stablecoin berbasis Ethereum, dieksploitasi sebesar $182 juta pada awal pekan ini. Peretas dilaporkan menggunakan eksploitasi berupa flash loan untuk menguras dana protokol.
PeckShield, perusahaan keamanan blockchain, mengungkapkan kasus eksploitasi ini dalam dan menunjukkan transaksi peretas melalui Etherescan. Perusahaan tersebut mengatakan bahwa peretas menguras setidaknya $80 juta dalam bentuk cryptocurrency, meskipun kerugian diderita protokol Beanstalk Farm jauh lebih besar.
Menurut data Etherscan, peretas memanfaatkan fitur flash loan Aave untuk menarik likuiditas dari protokol Beanstalk dan kemudian menggunakan Uniswap untuk trading stablecoin DAI, USDC, dan USDT ke dalam Ethereum (ETH).
Pasar stablecoin Beanstalk (BEAN) runtuh akibat dari serangan tersebut. Data CoinGecko menunjukkan bahwa harga stablecoin tersebut turun lebih dari 59% dari patokan $1 dalam 24 jam terakhir, per 19 April 2022.
Baca juga Chainalysis: Platform DeFi Menjadi Target Utama Peretas Tahun Ini
Tim pengembang Beanstalk merilis laporan resmi mengenai kasus peretasan terhadap protokol melalui server Discord, menurut laporan CoinDesk. Dalam laporan tersebut, peretas menggunakan flash loan pada platform pinjaman Aave yang memungkinkan mereka untuk mengumpulkan sebagian besar token governance Beanstalk (STALK).
Dengan kekuatan voting yang diberikan oleh token STALK, peretas dapat dengan cepat membuat proposal governance yang menyerang kerentanan protokol dan menguras semua dana Beanstalk ke dalam dompet Ethereum pribadi mereka.
“Beanstalk tidak menggunakan ukuran flash loan tertentu untuk menentukan persentase token STALK yang telah memilih mendukung proposal BIP (Bitcoin Improvement Protocol) ketika peretasan berlangsung. Ini adalah kesalahan yang memungkinkan peretas untuk mengeksploitasi Beanstalk,” mengutip laporan Beanstalk.
Smart contract Beanstalk diaudit oleh perusahaan keamanan blockchain Omnicia. Namun dalam post-mortem Beanstalk, audit tersebut selesai sebelum kasus keretanan melalui flash loan ini terjadi. Menurut PechShield, peretas tampaknya menyumbangkan $250.000 dari dana curian ke dompet bantuan Ukraina.
Kasus eksploitasi Beanstalk adalah satu dari seluruh kasus peretasan keuangan terdesentralisasi (DeFi) yang terjadi dalam beberapa minggu terakhir. Pada Maret, Ronin dari Axie Infinity dieskploitasi sebesar $625 juta dan kasus Ronin dilaporkan sebagai kasus peretasan DeFi terbesar saat ini.
Sumber: Coindesk