2022年4月17日，北京时间，CertiK监控审计团队Beanstalk恶意使用协议，导致24、830 ETH和36,398,226 BEAN遭受损失。攻击者通过闪电贷款意提案，通过闪电贷款获得了足够的投票并执行了该提案，从而从协议中窃取了资产。目前，攻击者已经拥有了一切ETH（约4.7转移到1亿元Tornado Cash。

攻击步骤

攻击前黑客的准备行动:攻击者会有一些BEAN代币存入Beanstalk，创建恶意提案 "InitBip18"。一旦提案生效，协议中的资产将转移给攻击者。攻击过程正式启动:①攻击者闪电贷3.5亿Dai、5亿USDC、1.5亿USDT、3200万Bean和1160万LUSD。②闪电贷款资产转换为795、425、740 BEAN3Crv-f和58,924,887 BEANLUSD-f。③攻击者存入步骤中获得的所有资产Diamond合同，恶意投票BIP18提案。④函数emergencyCommit()立即调用恶意执行BIP18提案。⑤在步骤3和4之后，攻击者可以窃取合同中的36、084、584 BEAN,0.54 UNIV2(BEAN-WETH),874,663,982 BEAN3Crv及60,562,844 BEANLUSD-f。⑥攻击者利用步骤5中窃取的资产偿还闪电贷款，并获得其余24、830 WETH和36,398,226 BEAN作为利润。

漏洞分析

漏洞的根本原因：

Silo该系统用于投票BEAN3Crv-f和BEANLUSD-f闪电贷款可以获得。然而，因为Beanstalk该协议缺乏反闪电贷款机制，攻击者可以借用该协议支持的许多代币进行恶意投票。

攻击者如何绕过验证：

为了通过 "emergencyCommit() "攻击者需要绕过以下验证。

验证一：保证BIP提出后，有24小时的窗口期。验证二:确保对某一特定BIP投票比例不低于阈值，即⅔。

由于BIP18提案是一天前创建的，所以验证可以绕过；通过闪电贷款，BIP18该提案投票超过78%，超过67%，因此绕过了验证二。

资产去向

其他细节

漏洞交易

BIP18提案：https://etherscan.io/tx/0x68cdec0ac76454c3b0f7af0b8a3895db00adf6daaf3b50a99716858c4fa54c6f执行BIP18：https://etherscan.io/tx/0xcd314668aaa9bbfebaf1a0bd2b6553d01dd58899c508d4729fa7311dc5d33ad7

合约地址

受害者合同：https://etherscan.io/address/0xc1e088fc1323b20bcbee9bd1b9fc9546db5624c5#code攻击者合同：https://etherscan.io/address/0x1c5dcdd006ea78a7e4783f9e6021c32935a10fb4恶意提案：https://etherscan.io/address/0xe5ecf73603d98a0128f05ed30506ac7a663dbb69攻击者的初始资本活动：https://arbiscan.io/address/0x71a715ff99a27cc19a6982ae5ab0f5b070edfd35https://debank.com/profile/0x1c5dcdd006ea78a7e4783f9e6021c32935a10fb4/history

写在最后

通过审计，我们可以发现闪电贷款可以用来操纵投票的风险因素。攻击发生后，CertiK推特预警账号和官方预警系统首次发布消息。CertiK今后还将继续在官方账号上发布与项目预警(攻击、欺诈、跑路等)相关的信息。