Un fallo en el sistema Beanstalk Farms, un protocolo de stablecoin, ha permitido a un hacker desconocido desviar millones de dólares de la red. Las informaciones iniciales hablaban del robo de 70 millones de dólares en apenas 13 segundos (y esta es también la información oficial), aunque ahora otras informaciones hablan de 182 millones robados en total.
Una stablecoin es un token digital cuyo valor permanece vinculado al de otros activos, frecuentemente no-digitales, mayoritariamente una moneda fiduciaria (euro, dólar, yuan…) o una materia prima (oro, plata, petróleo…). Por tanto, las stablecoins tienen un valor estable en comparación con criptodivisas más volátiles, como el bitcoin.
Beanstalk Farms' statement on yesterday's exploit.https://t.co/Db5LKnLi0s
— Beanstalk Farms (@BeanstalkFarms) April 19, 2022
Por su parte, Beanstalk Farms es un protocolo de stablecoin que opera en la red Ethereum, y emite el token de gobernanza BEAN, que da a los propietarios poder de voto para cualquier cambio en la propia red.
Así fue el ataque
Al describir el incidente en un post publicado en Discord, la compañía dijo que el atacante descubrió una vulnerabilidad en su sistema de gobierno, que fue posible con la ayuda de un servicio de préstamos flash. No hubo malware, contraseñas robadas o identidades falsas utilizadas en el ataque.
Los préstamos flash son como los préstamos normales, con la única diferencia de que se producen en un instante. Estos préstamos instantáneos son posibles gracias a la naturaleza de la tecnología blockchain. Sin embargo, en este caso concreto, los préstamos flash ayudaron al atacante a robar el dinero del protocolo.
Concretamente, el hacker pudo usar el servicio de préstamos flash Aave para comprar una gran cantidad de BEAN.Tras esto, congtando con una gran proporción de BEAN, el atacante pudo aprobar una propuesta maliciosa y desviar todos los fondos del protocolo a una cartera privada de ETH.
"Beanstalk no utilizó una medida resistente al préstamo flash" este "fue el fallo que permitió al hacker llevar a cabo su robo en Beanstalk". Una parte de los fondos (250.000 dólares) fue enviada a un monedero de ayuda ucraniano, según informó CoinDesk.