Le protocole stablecoin basé sur le crédit Beanstalk Farms a perdu la totalité de ses 182 millions de dollars de garantie suite à une violation de sécurité causée par deux propositions de gouvernance sinistres et une attaque de prêts instantanés.

Le problème pour le protocole a été initié par des propositions de gouvernance suspectes BIP-18 et BIP-19 émises le 16 avril par le pirate qui demandait au protocole de donner des fonds à l’Ukraine. Cependant, ces propositions étaient accompagnées d’un avenant malveillant qui a finalement créé la perte des fonds du protocole, selon l’auditeur de smart contracts BlockSec.

Cette dernière violation de sécurité d’un protocole de finance décentralisée (DeFi) a eu lieu à 12 h 24 UTC. À ce moment-là, les pirates ont contracté des prêts instantanés d’un milliard de dollars à partir du protocole AAVE (AAVE), libellés en stablecoins DAI (DAI), USD Coin (USDC) et Tether (USDT). Ils ont utilisé ces fonds pour accumuler suffisamment d’actifs pour prendre en charge 67 % de la gouvernance du protocole et approuver leurs propres propositions.

Beanstalk Farms: Nous engageons tous les efforts pour essayer d’aller de l’avant. En tant que projet décentralisé, nous demandons à la communauté DeFi et aux experts en analyse de blockchain de nous aider à limiter la capacité du pirate à retirer des fonds via les Exchanges centralisés. Si le pirate est ouvert à la discussion, nous le sommes aussi. https://t.co/fwceVz6hbi — Beanstalk Farms (@BeanstalkFarms) 17 avril 2022

Un prêt instantané doit être exécuté et remboursé dans un seul bloc et fait généralement appel à plusieurs smart contracts à la fois pour être réalisé. Les prêts instantanés ont été utilisés dans le passé pour réaliser des piratages ou attaques malveillantes d’autres protocoles. Beanstalk Farms est une plateforme algorithmique décentralisée d’émission de stablecoins sur Ethereum.

Techniquement, il ne s’agit pas d’un piratage, car les smart contracts et les procédures de gouvernance ont fonctionné comme prévu. Des failles dans leur conception ont été exploitées, ce que le porte-parole du projet « Publius » a reconnu lors d’une réunion le 18 avril en déclarant :

« Il est regrettable que la même procédure de gouvernance qui a mis beanstalk en position de réussir ait finalement causé sa perte. »

La société d’analyse de la sécurité des blockchains PeckShield a informé l’équipe de Beanstalk via Twitter à 12 h 41 UTC le 17 avril qu’il pourrait y avoir un problème avec la déclaration de mauvais augure : « Salut, @beanstalkFarms, vous pourriez vouloir jeter un coup d’œil ».

PeckShield : Notre analyse initiale montre que la perte de @BeanstalkFarms est de ~$182 m ! Voici la répartition des actifs volés : 79 238 241 BEAN3CRV-f, 1 637 956 BEANLUSD-f, 36 084 584 BEAN, et 0,54 UNI-V2_WETH_BEAN. https://t.co/8OzPn8F8ot — PeckShield Inc. (@peckshield) Le 17 avril 2022

À ce moment-là, il était trop tard. Le pirate s’était déjà emparé d’environ 80 millions de dollars en ether (ETH) et en Beans (BEAN), tandis que le protocole entier perdait ses 182 millions de dollars en valeur totale bloquée (TVL) selon PeckShield. BEAN est actuellement en baisse d’environ 83 % à 0,17 $ selon CoinGecko, mais a atteint un creux de 0,06 $ lorsque le pirate s’est débarrassé de ses tokens.

Le pirate a échangé du BEAN contre de l’ETH et a ensuite envoyé les fonds à Tornado Cash pour couvrir ses traces numériques. Cependant, il a également envoyé 250 000 USD au portefeuille Ukraine Crypto Donation.

À 23 h 49 UTC le 17 avril, Publius a écrit que le projet était probablement perdu puisqu’il n’y a pas de soutien en capital-risque pour récupérer les pertes, ajoutant : « Nous sommes foutus. »

Lors d’une réunion de l’équipe et de la communauté sur le canal Discord de Beanstalk, le 18 avril, Publius a dénoncé les trois personnes qui ont développé le projet. Il s’agit de Benjamin Weintraub, Brendan Sanderson et Michael Montoya, qui ont fréquenté ensemble l’université de Chicago et ont conçu Beanstalk Farms. 

Montoya a déclaré que l’équipe avait contacté le centre de lutte contre la criminalité du Federal Bureau of Investigation (FBI) et qu’elle allait « coopérer pleinement avec eux pour retrouver les auteurs et récupérer les fonds. »

Les smart contracts du protocole ont été mis en pause et tous les privilèges de gouvernance ont été révoqués par l’équipe.

Voir aussi : Le groupe nord-coréen Lazarus serait à l’origine du piratage de Ronin Bridge

L’équipe n’a pas répondu lorsque Cointelegraph a demandé si elle pensait que le FBI avait un moyen légal de les aider, mais Publius pense que c’est définitivement un vol qui devrait faire l’objet d’une enquête.

La communauté de Beanstalk a surtout soutenu l’équipe dans cette période difficile, malgré les pertes personnelles considérables qu’elle a subies. Cependant, un membre de la communauté, « Astrabean », pense que l’équipe devrait assumer davantage de responsabilités pour l’attaque plutôt que d’accepter ce qui s’est passé comme une erreur honnête dont le projet doit se défaire. Il a déclaré : « J’aurais voulu qu’en tant que dirigeants, vous assumiez la responsabilité de ce qui s’est passé. »

Le membre de la communauté « CharlieP » a fait écho à des préoccupations concernant la confiance dans le protocole. Il a demandé à l’équipe : « Vous dites que vous n’avez aucune responsabilité dans cette entreprise ? Si c’est le cas, qui devons-nous croire pour que cela ne se reproduise pas ? »

Publius a répondu que le projet n’est qu’une expérience de code open source, pas une entreprise et que ni lui ni l’équipe ne devraient être tenus responsables de ce qui s’est passé. Il ajoute,

« Quand vous nous demandez de prendre des responsabilités, c’est vraiment inapproprié ».