新流行的bean协议被黑客攻击,损失超过1.81亿美元,其中攻击者赚到了7600万美元,让我们看看发生了什么:
主协议合约已经被完全清空。
用户资金损失:
攻击者从Synapse桥获得资金。之后,他们创建了BIP-18:向乌克兰捐赠250k BEAN的假提案。
然后,透过闪电贷,获得:
这些代币用于通过BEAN为Curve池增加流动性,以进行治理投票。
然后,部署并投票支持一个假提案,将全部的资金转到攻击者账户。
最后,解除在Curve上的流动性,偿还闪电贷,并将全部资金兑换为24800枚WETH,通过Tornado Cash 离场。
这次攻击者是通过项目的治理系统的机制漏洞而实现的攻击,我认为是一个非常低级的错误。理论上,任何的非锁仓(ve/vl)的治理系统都有可能遭受这种类型的攻击。
(veCRV持有者手续费收益++)
原文转载翻译来源如下,有部分删改