新流行的bean协议被黑客攻击，损失超过1.81亿美元，其中攻击者赚到了7600万美元，让我们看看发生了什么：

https://twitter.com/0revenue/status/1515671427298508800

主协议合约已经被完全清空。

用户资金损失：

• 3600万个Bean （3600万美元）
• 0.54 ETH-BEAN Uni-v2 LP （3300万美元的ETH和3200万美元的BEAN）
• 7920 万个 BEAN3CRV-f Curve LP 代币（7920 万美元）
• 160 万个 BEAN-LUSD Curve LP 代币（160 万美元）

攻击者从Synapse桥获得资金。之后，他们创建了BIP-18：向乌克兰捐赠250k BEAN的假提案。

然后，透过闪电贷，获得：

• 来自Aave 的 3.5亿个DAI；5亿个USDC和1.5亿个USDT
• 来自Uniswap v2 的 3200万个 BEAN
• 来自 Sushiswap的1160万个LUSD

这些代币用于通过BEAN为Curve池增加流动性，以进行治理投票。

然后，部署并投票支持一个假提案，将全部的资金转到攻击者账户。

最后，解除在Curve上的流动性，偿还闪电贷，并将全部资金兑换为24800枚WETH，通过Tornado Cash 离场。

总结

这次攻击者是通过项目的治理系统的机制漏洞而实现的攻击，我认为是一个非常低级的错误。理论上，任何的非锁仓（ve/vl）的治理系统都有可能遭受这种类型的攻击。

（veCRV持有者手续费收益++）

原文转载翻译来源如下，有部分删改

https://twitter.com/FrankResearcher/status/1515693895887294466