Den 17. april blev det decentraliserede finansprojekt (DeFi) Beanstalk Farms udnyttet for 182 millioner dollars, efter at en angriber gennemførte en lynhurtig fjendtlig overtagelse, købte en kontrollerende andel af tokens og straks stemte for at sende sig selv alle af midlerne.
Hændelsen udløste diskussion omkring “governance-angreb”, en måde at manipulere blockchain-projekter, der bruger decentraliserede styringsstrukturer, ved at opnå nok stemmeret til at omforme reglerne.
I kølvandet på angrebet viser chatlogs og videobeviser, at grundlæggerne blev advaret om risikoen for netop denne form for angreb, men de afviste fællesskabsmedlemmers bekymringer.
Beanstalk-udnyttelsen blev muliggjort af en anden DeFi-mekanisme kendt som et “flash-lån”, som giver brugerne mulighed for at låne store mængder kryptovaluta i meget korte perioder. I tilfældet med det nylige hack lånte angriberen tæt på 1 milliard dollars i cryptocurrency-aktiver gennem en tjeneste kaldet Aave, byttede dem til en andel på 67 procent i Beanstalk-projektet, stemte igennem deres eget forslag om at trække hele statskassen tilbage og returnerede lånte midler – alt sammen på mindre end 13 sekunder.
Selvom angrebet chokerede Beanstalk-brugere – hvoraf nogle hævdede at have mistet sekscifrede pengebeløb – var truslen om et regeringsangreb rejst i Beanstalks Discord-server måneder tidligere og i mindst én offentlig AMA-session afholdt af Publius, udviklingsteamet bag projektet.
Den 12. februar, i et diskussionsrum centreret omkring et forslag om at acceptere flere slags kryptovaluta-tokens i “Silo” (Beanstalks centrale fondsreserve), skrev en bruger med skærmnavnet Mr. Mochi:
På grund af regeringsangreb, bestikkelse og vælgermanipulation går regeringsførelsen ikke altid, som den skal. Er dette en risiko, vi er villige til at tage, eller vil der også være en nødhjælps-DAO (som Curves), der kan blokere potentielle angreb?
Senere tilføjede de:
Der er absolut måder at afbøde noget af denne bekymring på på en elegant måde … Så vidt jeg kan se, tager det nuværende regelsæt ikke højde for flashlånsstyringsangreb eller rugpull-tokens.
Som svar på kommentaren skrev en Publius-administratorkonto, at sådan manipulation “ikke var en bekymring på nogen måde, før Stalk [governance token] er flydende.”
:no_upscale()/cdn.comvox/cdn.com /chorus_asset/file/23409354/FlashLoanQuestion.png "Beanstalk-grundlæggere afviste bekymringer om regeringsangreb, før de tabte $182 millioner")
:no_upscale()voxup/cdnload.com- /chorus_asset/file/23409372/Governance_manipulation.png "Beanstalk-grundlæggere afviste bekymringer om regeringsangreb, før de tabte $182 millioner")
En bekymring om flashlån blev også rejst i en session i AMA-stil afholdt af Publius den 12. april, hvoraf en video er tilgængelig på YouTube. Omkring 6 minutter inde i videoen spørger en deltager via chat: “Kan holdet gå ind i … hvorfor protokollen ikke er modtagelig for angreb af typen flashlån?”
Som svar diskuterer et medlem af Publius beskyttelse mod kursmanipulation via flashlån, men behandler ikke muligheden for flashlånsdrevne regeringsangreb.
Med Beanstalks aktiver fuldstændig opbrugt af angrebet, har projektet lanceret en 10-dages fundraiser for at forsøge at genopbygge de tabte midler. Uden fordelen ved VC-finansiering mangler virksomheden den slags dybe lommer, der har hjulpet andre hackede protokoller til at stoppe endnu større tab. Men med virksomhedens skæbne hængende i en tynd tråd, vil indsamlingens succes i høj grad afhænge af samfundets tillid til grundlæggerteamet for ikke at begå lignende fejl igen.
Nået via Discord , Publius havde ikke reageret på en anmodning om kommentar på tidspunktet for offentliggørelsen.