「defi」损失1.82亿美元，去中心化稳定协议Beanstalk遭攻击，创始人：我们完蛋了！

原文标题：损失1.82亿美元，去中心化稳定协议Beanstalk遭攻击，创始人：我们完蛋了！

整理 | 章雨铭 责编 | 屠敏

4 月 17 日，去中心化稳定协议 Beanstalk 受到闪电贷攻击，损失了大约 1.82 亿美元的加密货币，攻击者从中获利近 8000 万美元（除去攻击所需的一些借贷资金）。

Beanstalk Farms 是一个旨在平衡不同加密货币资产供需的去中心化金融（DeFi）项目，2021 年 8 月基于以太坊构建，其发行的美元稳定币名为 BEAN。在其运行的系统中，参与者通过向中央资金池（" 筒仓 "）贡献资金来获得奖励，该资金池用于平衡一个代币（称为 " 豆子 "）的价值，约为一美元。

Beanstalk 的创建者是一个名为 Publius 的开发团队，和其他 DeFi 项目一样，参与者可以对代码的修改进行集体投票。然后可以获得与他们所持有的代币价值成比例的投票权。正是这样一个机制让攻击者钻了空子。

这一攻击显然对 Beanstalk 造成了很大的打击，导致其加密资产锁仓价值（TVL）归零，原本锚定 1 美元价值的稳定币 BEAN一度跌至 0.063 美元。

用闪电贷 " 空手套白狼 "

这个空子就是闪电贷。Beanstalk 系统中用于投票的资金池可以通过闪电贷来创建，由于缺乏防闪电贷机制，攻击者借用协议支持的代币并用投票的方式通过了提案。

闪电贷是一种关于 DeFi 无抵押贷款的新思路，所有操作都在一笔交易（一个区块）中完成，它是一种无抵押贷款（但需支付较少的额外费用），具有能在链上快速执行的特点。因为代码保证在一定时间内（以太坊大约是 13 秒）偿还借款，如果资金没有返还，那么交易就会被还原，即撤消之前执行的所有操作，从而确保协议和资金的安全。

闪电贷大大降低了对资金的需求和交易的成本，但是近年来不少 " 有心人 " 想要用其 " 空手套白狼 "，导致 defi 项目被攻击。

这次的事件也是其中之一。根据区块链安全公司 CertiK 的分析，Beanstalk 攻击者利用去中心化协议 Aave 获得的闪电贷款，借入近 10 亿美元的加密货币，并且将这些加密货币换成豆子，以获得项目中 67% 的投票权。掌握了多数的投票权，攻击者就能批准执行代码，将资产转移到自己的钱包里。然后攻击者立即偿还闪电贷，净赚了 8000 万美元。

不到 13 秒，8000 万美元就进了攻击者口袋。

闪电贷攻击次数上升

正如 CertiK 首席执行官兼联合创始人顾荣辉所说，近年的闪存贷款攻击有增加的趋势。

比如，2020 年 11 月，去中心化金融协议 Value DeFi 遭到了闪电贷攻击，攻击者从 Value 协议的金库中转移走了大约 700 万美元（有趣的是，之后攻击者又归还了 200 万美元）。2021 年 5 月，DeFi 协议 Spartan Potocol 遭到闪电贷攻击，损失 3000 万美元。

发生了这么多的闪电贷攻击事件，使许多 DeFi 项目遭受到巨大的打击。怎样才能更好地预防这类攻击的发生呢？顾荣辉说道：" 这些攻击进一步强调了安全审计的重要性，也强调了在编写 Web3 代码时要注意安全陷阱。"

在此次 Beanstalk 闪电贷攻击事件中，Publius 团队承认，他们没有使用任何条款来降低闪电贷攻击的可能性（可能因为这种攻击在之前并不常见）。

加密货币借贷平台 Fringe Finance 的首席技术官 Brian Pasfield 表示，去中心化的治理结构（DAO）也存在着一些问题。Pasfield 说："DAO 治理目前是 DeFi 的趋势，虽然它是去中心化过程的一个必要步骤，但应该逐步进行，并且仔细权衡所有的风险。开发人员和管理人员应该注意一些新创造的故障点，无论是有意还是无意创造的。"

受害者只能自认倒霉

对于那些此次攻击的受害者（失去所投币的 Beanstalk 的投资者）来说，只能自认倒霉了。遭遇攻击后，Beanstalk 的创始人发文写道：" 该项目‘极不可能’得到救助，因为它不是在 VC 支持下开发的。" 甚至还很不乐观的补充说：" 我们完蛋了。"

在该项目的 Discord 服务器中，许多用户声称已经损失了数万美金的投资加密货币。自攻击以来，黑客一直在通过 Tornado Cash 转移资金，Tornado Cash 是一个以隐私为主的混合器服务，已成为黑客洗被盗加密货币资金的首选。由于大部分被盗资金现在已经被掩盖了，所以追回的可能性很低。

推荐阅读：MOLA无线空气净化器<\a>