Beanstalk, ein DeFi-Projekt (decentralised finance), erlitt am Sonntag einen schweren Angriff, der ca. 180 mio US-Dollar schwer wog.
Das DeFi-Projekt Beanstalk Farms musste am Sonntag einen herben Verlust von 182 Mio. US-Dollar (etwa 168 Mio. Euro) einstecken. Der bisher unbekannte Angreifer kam mit 80 Millionen US-Dollar (74,2 Mio. Euro) davon, welche er bereits im Cryptomixer Tornado Cash verstaute, um die Spuren des Geldes zu verwischen. Ebenso sandte er einen kleinen Teil des Geldes, 250.000 US-Dollar, an ein ukrainisches Spenden-Wallet. Weitere rund 100 Mio. US-Dollar transferierte er an verschiedene andere Protokolle. Durch den Angriff fiel der Kurs der zum Projekt gehörenden Stablecoin BEAN um circa 75 %.
Die Securityfirma PeckShield veröffentlichte den Vorfall im Detail auf Twitter. Im dazugehörigen Thread finden sich weitere technische Details zum Angriff auf Beanstalk.
Flash-Loan-Angriff gegen Beanstalk
Flash Loans sind eigentlich ein legitimes Werkzeug von Kryptotradern. Die sogenannten Blitzkredite werden meist zum unkomplizierten Tausch einer Kryptowährung in eine andere benutzt. Besonders hieran ist, dass bei einem Flash Loan die Kreditvergabe und Rückzahlung in derselben Transaktion geschieht. Zumeist sind Flash Loans an die Ethereum-Blockchain angebunden. Allerdings sind sie nicht auf ETH beschränkt, sondern können auch andere Kryptowährungen verwenden.
Im vorliegenden Fall wurde die Technik missbraucht, um Schwachstellen in den verwendeten Smart Contracts auszunutzen und mit der beachtlichen Summe von 212.000 BEAN (etwa 76 mio US-Dollar) zu verschwinden. Coindesk schätzt die Auswirkungen des Angriffes als wesentlich höher ein und kommt auf einen Gesamtbetrag von 182 Millionen US-Dollar. Demzufolge sollen zusätzlich zu den vom Angreifer erbeuteten Betrag weitere rund 100 Mio. US-Dollar an Protokolle wie Aave, ShushiSwap, UniSwap und CurveFinance transferiert worden sein.
Die Gründer hinter Beanstalk veröffentlichten ihre Identitäten, um klarzustellen, dass sie nicht hinter dem Angriff stecken. In einer Stellungnahme gaben sie an, ebenfalls ihre eingelagerten Coins verloren zu haben. Weitere Ermittlungen führt nun das FBI durch. Der Angriff folgte kurz auf die Security-Audits der verwendeten Smart Contracts durch die Firma Omnicia. Die Flash-Loan-Funktion wurde nach dem Audit in das Beanstalk-Protokoll eingeführt.
Die erbeutete Summe stuft den Angriff als den bisher größten Flash-Loan-Angriff überhaupt ein. Nicht ganz so herbe Verluste wie Beanstalk mussten Cream Finance und Alpha Homora einstecken. Die beiden Projekte verloren je 130 Millionen US-Dollar und 37 Mio. US-Dollar, als sie letztes Jahr angegriffen wurden. In einem anderen Angriff verlor auch kürzlich Axie Infinity eine sehr hohe Summe.