Protocolo de stablecoin Beanstalk entra em colapso após golpe de US$ 182 milhões

No último domingo (17), o protocolo de stablecoin Beanstalk Farms anunciou ter sofrido um golpe de flash loan (empréstimo instantâneo sem garantia) devido a propostas de governança suspeitas emitidas no dia anterior (16), que culminaram em uma violação de segurança. Na prática, o criminoso levou cerca de US$ 80 milhões — o equivalente a cerca de R$ 374 milhões. No entanto, o prejuízo da empresa em questão foi bem maior.

Acontece que o ataque criminoso simplesmente levou a stablecoin BEAN ao colapso, uma vez que esta despencou 86% e perdeu de uma só vez a paridade com o dólar americano, ficando abaixo de US$ 0,20. Com isso, a empresa por trás desse mercado perdeu toda a sua garantia de US$ 182 milhões (o que, em conversão direta, daria aproximadamente R$ 852 milhões).

O golpista pegou US$ 1 bilhão em empréstimos instantâneos e usou esses fundos para acumular ativos suficientes para assumir 67% da governança do protocolo e aprovar suas próprias propostas. Normalmente, um empréstimo em flash loan deve ser executado e reembolsado em um único bloco e exige vários contratos inteligentes de uma só vez para ser concluído. 

Os contratos inteligentes e os procedimentos de governança funcionaram conforme o planejado, mas as falhas em seu design foram exploradas, o que o próprio porta-voz do projeto chegou a comentar, depois do ocorrido: “É lamentável que o mesmo procedimento de governança que colocou o pé de feijão em uma posição de sucesso tenha sido sua ruína.”

A equipe do protocolo só ficou sabendo de tudo quando a empresa de análise de segurança PeckShield notificou via Twitter que poderia haver alguma coisa errada. Quando a Beanstalk Farms foi verificar, já era tarde demais: o cibercriminoso já havia “fugido” com os já mencionados US$ 80 milhões em ETH e  BEAN.

Por falar nisso, foi pelo próprio Twitter que a Beanstalk fez o comunicado aos seus clientes, e se mostrou disposta a negociar com o criminoso: “Estamos engajando todos os esforços para tentar seguir em frente. Como um projeto descentralizado, estamos pedindo à comunidade DeFi e aos especialistas em análise de cadeia que nos ajudem a limitar a capacidade do explorador de sacar fundos por meio de CEXes. Se o explorador está aberto a uma discussão, nós também estamos”, escreveu a empresa:

We’re engaging all efforts to try to move forward. As a decentralized project, we are asking the DeFi community and experts in chain analytics to help us limit the exploiter's ability to withdraw funds via CEXes. If the exploiter is open to a discussion, we are as well. https://t.co/fwceVz6hbi

— Beanstalk Farms (@BeanstalkFarms) April 17, 2022

O autor do crime trocou BEAN por ETH e depois enviou as moedas para o protocolo Tornado Cash, para cobrir seus rastros digitais. Uma coisa que notaram depois do ocorrido, foi que esse golpista enviou 250 mil USDC (outra stablecoin pareada com o dólar) para a carteira digital de doação de criptomoedas da Ucrânia.

Os criadores reconhecem que o projeto provavelmente está perdido, já que não há capital de risco para recuperar as perdas. O porta-voz chegou a anunciar que a equipe entrou em contato com o  Federal Bureau of Investigation (FBI) e o plano seria contar totalmente com eles para rastrear os criminosos e recuperar fundos.

Por enquanto, frente ao acontecido, os contratos inteligentes do protocolo foram pausados ​​e todos os privilégios de governança foram revogados pela equipe.