Protocolo de stablecoin Beanstalk entra em colapso após golpe de US$ 182 milhões
No último domingo (17), o protocolo de stablecoin Beanstalk Farms anunciou ter sofrido um golpe de flash loan (empréstimo instantâneo sem garantia) devido a propostas de governança suspeitas emitidas no dia anterior (16), que culminaram em uma violação de segurança. Na prática, o criminoso levou cerca de US$ 80 milhões — o equivalente a cerca de R$ 374 milhões. No entanto, o prejuízo da empresa em questão foi bem maior.
Acontece que o ataque criminoso simplesmente levou a stablecoin BEAN ao colapso, uma vez que esta despencou 86% e perdeu de uma só vez a paridade com o dólar americano, ficando abaixo de US$ 0,20. Com isso, a empresa por trás desse mercado perdeu toda a sua garantia de US$ 182 milhões (o que, em conversão direta, daria aproximadamente R$ 852 milhões).
O golpista pegou US$ 1 bilhão em empréstimos instantâneos e usou esses fundos para acumular ativos suficientes para assumir 67% da governança do protocolo e aprovar suas próprias propostas. Normalmente, um empréstimo em flash loan deve ser executado e reembolsado em um único bloco e exige vários contratos inteligentes de uma só vez para ser concluído.
Os contratos inteligentes e os procedimentos de governança funcionaram conforme o planejado, mas as falhas em seu design foram exploradas, o que o próprio porta-voz do projeto chegou a comentar, depois do ocorrido: “É lamentável que o mesmo procedimento de governança que colocou o pé de feijão em uma posição de sucesso tenha sido sua ruína.”
A equipe do protocolo só ficou sabendo de tudo quando a empresa de análise de segurança PeckShield notificou via Twitter que poderia haver alguma coisa errada. Quando a Beanstalk Farms foi verificar, já era tarde demais: o cibercriminoso já havia “fugido” com os já mencionados US$ 80 milhões em ETH e BEAN.
Por falar nisso, foi pelo próprio Twitter que a Beanstalk fez o comunicado aos seus clientes, e se mostrou disposta a negociar com o criminoso: “Estamos engajando todos os esforços para tentar seguir em frente. Como um projeto descentralizado, estamos pedindo à comunidade DeFi e aos especialistas em análise de cadeia que nos ajudem a limitar a capacidade do explorador de sacar fundos por meio de CEXes. Se o explorador está aberto a uma discussão, nós também estamos”, escreveu a empresa:
O autor do crime trocou BEAN por ETH e depois enviou as moedas para o protocolo Tornado Cash, para cobrir seus rastros digitais. Uma coisa que notaram depois do ocorrido, foi que esse golpista enviou 250 mil USDC (outra stablecoin pareada com o dólar) para a carteira digital de doação de criptomoedas da Ucrânia.
Os criadores reconhecem que o projeto provavelmente está perdido, já que não há capital de risco para recuperar as perdas. O porta-voz chegou a anunciar que a equipe entrou em contato com o Federal Bureau of Investigation (FBI) e o plano seria contar totalmente com eles para rastrear os criminosos e recuperar fundos.
Por enquanto, frente ao acontecido, os contratos inteligentes do protocolo foram pausados e todos os privilégios de governança foram revogados pela equipe.