4月17日，去中心化稳定协议Beanstalk遭到闪电贷款攻击，损失了大约1.82亿美元的加密货币,攻击者从中获得了近8000万美元(除了攻击所需的部分贷款资金)。 　　

　　BEANstalk Farms是一个分散金融(DeFi)项目，旨在平衡不同加密货币资产的供需。它于2021年8月建立在以太坊上，其稳定的美元货币命名为Bean。在其运行系统中，参与者通过向中央资金池(“silo”)捐款获得奖励，中央资金池用于平衡代币(称为“豆”)的价值，大约为一美元。 　　

　　Beanstalk的创建者是一个名为塔西陀的开发团队。像其他DeFi项目一样，参与者可以对代码的修改进行集体投票。然后，他们可以获得与所持代币价值成比例的投票权。正是这样一种机制让攻击者可以利用漏洞。 　　

　　这次攻击显然对Beanstalk造成了很大的打击，导致其加密资产锁价值(TVL)为零，而原本锚定稳定货币Bean一度跌至0.063美元。的价值为1美元。 　　

　　用闪电贷“空手套白狼” 　　

　　这个漏洞就是闪电贷。豆茎系统中用于投票的资金池可以通过闪贷创建。由于缺乏反闪贷机制，攻击者借用协议支持的令牌，以投票方式通过提案。 　　

　　闪贷是一个新的想法，对DeFi无担保贷款。所有操作都在一个事务(一个块)中完成。因为密码，它是一种无抵押贷款（但需支付较少的额外费用），具有能在链上快速执行的特点。保证在一定时间内(以太坊约13秒)偿还贷款。如果资金没有退回，那么就恢复交易，即取消之前的所有操作，从而保证协议和资金的安全。 　　

　　闪贷大大降低了资金需求和交易成本，但是近年来不少“有心人”想要用其“空手套白狼”，导致defi项目被攻击。. 　　

　　这次事件也是其中之一。根据区块链安全公司CertiK的分析，Beanstalk攻击者利用去中心化协议Aave获得的闪电贷款借入了近10亿美元的加密货币，并用这些加密货币换取beans在该项目中获得67%的投票权。由于拥有多数投票权，攻击者可以批准代码的执行，并将资产转移到他的钱包中。然后攻击者立即偿还了闪贷，净赚了8000万美元。 　　

　　不到13秒，8000万美元就进了攻击者口袋。 　　

　　闪电贷攻击次数上升 　　

　　正如CertiK首席执行官兼联合创始人顾所说 　　

　　例如，2020年11月，去中心化金融协议Value DeFi遭到闪电贷款的攻击。攻击者从价值库协议中转移了大约700万美元(有趣的是，攻击者后来又归还了200万美元)。2021年5月，DeFi协议斯巴达Potocol遭到闪电贷款攻击，损失3000万美元。 　　

　　闪贷攻击太多了，很多DeFi项目都遭受了巨大的打击。我们如何更好地防止这种攻击？古容晖说：“这些攻击进一步强调了安全审计的重要性，也强调了在编写Web3代码时要注意安全陷阱。” 　　

　　在这次Beanstalk闪电贷攻击中，塔西陀团队承认他们没有使用任何条款来降低闪电贷攻击的可能性(可能是因为这种攻击以前并不常见)。 　　

　　加密货币借贷平台Fringe Finance的首席技术官布莱恩帕斯菲尔德(Brian Pasfield)表示，去中心化的治理结构(DAO)也存在一些问题。帕斯菲尔德说：“道治是目前德法的趋势。虽然这是权力下放过程中的一个必要步骤，但应该一步一步地进行，应该仔细权衡所有风险。开发人员和管理人员应该注意一些新创建的故障点，不管是有意还是无意的。” 　　

　　近年的闪存贷款攻击有增加的趋势。 　　

　　对于这次攻击的那些受害者(丢币的豆茎投资人)，只能自认倒霉。在袭击发生后，Beanstalk的创始人写道：“该项目被挽救的可能性极小，因为它不是在VC的支持下开发的。”他甚至补充道：“我们完了。” 　　

　　在这个项目的Discord服务器中，自受害者只能自认倒霉.遭受攻击以来，黑客一直通过Tornado Cash转移资金。Tornado Cash是一种基于隐私的混合服务，已成为黑客清洗被盗加密货币资金的首选。由于大部分被盗资金现已被掩盖，许多用户声称已经损失了数万美金的投资加密货币。 　　

　　参考资料： 　　

　　https://baike.baidu.com/item/DAO/55746378 　　

　　https://www . the verge . com/2022/4/18/23030754/beanstalk-cryptocurrency-hack-1.82亿-dao-voting 　　

　　《新程序员001-004》全面上市，与世界级大师对话，报道中国IT行业创新创造。