扣去執(zhí)行攻擊所需注入的一些資金，預(yù)計(jì)黑客的“凈利潤(rùn)”在 8000 萬(wàn)美元左右。不久后，Beanstalk 在一條推文中證實(shí)了這輪攻擊，并聲稱會(huì)在調(diào)查后盡快向社區(qū)發(fā)布公告。

Beanstalk 自詡為“就與分布式信用的穩(wěn)定幣協(xié)議”、且運(yùn)行著一套協(xié)議。參與者通過(guò)向中央資金池（筒倉(cāng) / silo）注入資金而獲得獎(jiǎng)勵(lì)，而該資金池會(huì)借助 bean 代幣實(shí)現(xiàn)幣值的平衡（約 1：1 美元）。

與許多其他 DeFi 項(xiàng)目一樣，Beanstalk 的創(chuàng)建者（Publius 開(kāi)發(fā)團(tuán)隊(duì)）引入了一套治理機(jī)制，以允許參與者對(duì)代碼更改進(jìn)行集體投票。

然后他們將獲得與其持有的代幣價(jià)值成比例的投票權(quán)，但這也產(chǎn)生了一個(gè)明顯易被別有用心的攻擊者所濫用的漏洞。

截圖（來(lái)自：Etherscan）

接著攻擊者結(jié)合了另一款名為“閃貸”（flash loan）的 DeFi 產(chǎn)品，向 Beanstalk 平臺(tái)發(fā)起了可在極短時(shí)間內(nèi)（幾分鐘、甚至數(shù)秒）借入大量加密貨幣的行動(dòng)。

原本 flash loan 旨在提供利用流動(dòng)性的價(jià)格套利機(jī)會(huì)，但最新攻擊已經(jīng)無(wú)情地表明它也可被用于更邪惡的黑客攻擊目的。

DAO 項(xiàng)目被陰霾深深籠罩（via Kraken）

區(qū)塊鏈安全公司 CertiK 分析指出，Beanstalk 攻擊者利用了名為 Aave 的 DeFi 協(xié)議、以借入近 10 億美元的加密貨幣資產(chǎn)。然后將其轉(zhuǎn)換為足夠的 bean，以獲得該項(xiàng)目 67% 的投票權(quán)。

憑借這一絕對(duì)多數(shù)的投票權(quán)，他們得以批準(zhǔn)執(zhí)行將資產(chǎn)轉(zhuǎn)移到自己錢(qián)包的代碼、同時(shí)立即償還閃貸，最終獲得 8000 萬(wàn)美元的凈利潤(rùn)、而整個(gè)攻擊過(guò)程甚至不到 13 秒。