區塊鏈分析公司Peck Shield 於週日上午發布警告稱，一名攻擊者設法從Beanstalk Farms 中提取了價值約1.82 億美元的加密貨幣。據悉，作為一個旨在平衡不同加密貨幣資產供需的去中心化金融（DeFi）項目，攻擊者利用了Beanstalk 的“多數投票治理系統”，這也是諸多DeFi 協議的核心功能。

​

扣去執行攻擊所需注入的一些資金，預計黑客的“淨利潤”在8000 萬美元左右。不久後，Beanstalk 在一條推文中證實了這輪攻擊，並聲稱會在調查後儘快向社區發佈公告。

Beanstalk 自詡為“就與分佈式信用的穩定幣協議”、且運行著一套協議。參與者通過向中央資金池（筒倉/ silo）注入資金而獲得獎勵，而該資金池會藉助bean 代幣實現幣值的平衡（約1：1 美元）。

​

與許多其他DeFi 項目一樣，Beanstalk 的創建者（Publius 開發團隊）引入了一套治理機制，以允許參與者對代碼更改進行集體投票。

然後他們將獲得與其持有的代幣價值成比例的投票權，但這也產生了一個明顯易被別有用心的攻擊者所濫用的漏洞。

​

截圖（來自：Etherscan）

接著攻擊者結合了另一款名為“閃貸”（flash loan）的DeFi 產品，向Beanstalk 平台發起了可在極短時間內（幾分鐘、甚至數秒）借入大量加密貨幣的行動。

原本flash loan 旨在提供利用流動性的價格套利機會，但最新攻擊已經無情地表明它也可被用於更邪惡的黑客攻擊目的。

​

DAO 項目被陰霾深深籠罩（via Kraken）

區塊鏈安全公司CertiK 分析指出，Beanstalk 攻擊者利用了名為Aave 的DeFi 協議、以藉入近10 億美元的加密貨幣資產。然後將其轉換為足夠的bean，以獲得該項目67% 的投票權。

憑藉這一絕對多數的投票權，他們得以批准執行將資產轉移到自己錢包的代碼、同時立即償還閃貸，最終獲得8000 萬美元的淨利潤、而整個攻擊過程甚至不到13 秒。

友站推薦，「借錢」服務 「私人小額借款」找安貸，「線上借貸」安全快速沒煩惱 「快速借錢」首選 「安貸 」

參考來源