dinsdag 19 april 2022 - door
Steven Anthonis
Een hacker slaagde er in om zowat alle fondsen in het DeFi protocol Beanstalk te stelen door stemrechten in het project op te kopen.
Let op: altcoins zijn ZEER risicovol en er is een hoge kans dat je jouw inleg gaat kwijtspelen. Bekijk een altcoin dus als een gokje en niet als een investering. Allerlei zaken kunnen fout lopen: het team achter de coin kan de investeerders oplichten, de code van het project kan zo lek als een zeef zijn waardoor hacks mogelijk worden, de blockchain kan stoppen met werken waardoor jouw coins vast blijven zitten,... Wees dus zeer voorzichtig met deze speculatieve speeltjes en bescherm je vermogen in de cryptomarkt!
Zo'n 182 miljoen dollar in ETH, de BEAN stablecoin en andere tokens zijn verdwenen uit het Beanstalk protocol. De hacker stuurde deze fondsen simpelweg naar zijn eigen wallet, door de volledige controle over het protocol over te nemen.
Een flash loan of flitslening is een lening op zeer korte termijn, die dus erg snel volledig moet terugbetaald worden. Dit wordt ook aangeboden in verschillende DeFi lending protocols. Je kan zo'n krediet bijvoorbeeld opvragen via Aave en je hebt geen onderpand nodig om het geld te ontlenen.
Vervolgens kan je het geld gebruiken om koersen te manipuleren of om een blockchain aan te vallen.
Beanstalk is een DeFi protocol waarbij de governance uit handen is gegeven aan houders van de BEAN tokens. Door deze tokens aan te houden heb je stemrecht en kan je mee beslissen over de verdere ontwikkeling van het project.
De hacker maakte hiervan gebruik om het project leeg te trekken. Hij ontleende ongeveer 1 miljard dollar via flash loans en gebruikte dit geld om BEAN tokens en dus stemrechten te kopen in Beanstalk. Zo verwierf hij 67% van de stemrechten van het project, waardoor hij alle beslissingsmacht in handen had. Hij paste de broncode aan en stuurde alle activa naar zijn eigen wallet. Vervolgens betaalde hij de flitslening terug en stak netto zo'n 80 miljoen dollar winst op zak.
Volgens het security bedrijf CertiK werd dit volledige proces in amper 13 seconden uitgevoerd. Zij melden dat ze steeds meer van dergelijke aanvallen zien en vinden dat projecten zich hiertegen moeten wapenen.
Volgens de Beanstalk founders is er weinig kans dat investeerders hun geld gaan terugzien. Het project werd ontwikkeld zonder steun van VC's en dus is er geen enkele grote partij die de verliezen kan dekken. Ze roepen gecentraliseerde exchanges wel om op de fondsen die de hacker doorstuurt te blokkeren. De hacker gebruikte wel de mixer Tornado Cash om de herkomst van de fondsen te vermommen.
De hack maakt nogmaals duidelijk dat je bij een DeFi protocol je tokens uit handen geeft en de controle dus kwijt bent. Je moet het protocol of smart contract dan ook kunnen vertrouwen. Je loopt hiermee een groot risico. Regelmatig duiken er namelijk nieuwe zwakheden op die aangevallen kunnen worden.
Het risico dat je loopt wordt vergoed door het mooie rendement dat dergelijke DeFi applicaties bieden. Helaas loopt het soms volledig fout en dan is de kans groot dat je jouw volledige inleg kwijtspeelt. Wie op veilig wil spelen, kan best het grootste deel van zijn cryptomunten in een eigen hardware wallet aanhouden.
Disclaimer: beleggen is altijd risicovol. Bescherm steeds jouw vermogen door risico's te spreiden.
Download hier meteen het meer dan 150 pagina's tellende e-book "Bitcoin & crypto uitgelegd".
