В апреле 2022 года DeFi-протокол Beanstalk потерял около $182 млн из-за одной из самых показательных governance-атак в истории крипторынка. Хакер не взламывал код классическим способом — он использовал слабость в системе управления протоколом и провернул атаку буквально за один блок.
Что такое Beanstalk?
Beanstalk — это децентрализованный протокол со стейблкоином BEAN, где важную роль играло on-chain голосование. Владельцы governance-токенов могли предлагать и утверждать изменения в системе.
Как произошёл взлом
- Атакующий взял flash loan — мгновенный необеспеченный займ на огромную сумму.
- На эти средства он скупил достаточно токенов и получил контрольный пакет голосов.
- Затем внёс вредоносное предложение по управлению протоколом.
- И сразу же проголосовал за него, используя временно полученную власть.
- После принятия предложения смарт-контракт перевёл активы протокола на адрес атакующего.
- Flash loan был погашен в той же транзакции.
Итог: злоумышленник получил доступ к управлению без долгосрочного владения токенами и вывел средства пользователей.
Почему это стало возможным
Главная проблема Beanstalk — отсутствие достаточной защиты governance-механизма. В частности:
- не было надёжной timelock-задержки между голосованием и исполнением решения;
- система учитывала голосующую силу моментально, без защиты от flash loan;
- не применялись дополнительные фильтры для критических предложений;
- слишком много полномочий можно было получить через краткосрочную концентрацию капитала.
Почему “за один блок” — это критично ⚠️
В DeFi скорость — это не только преимущество, но и риск. Если протокол позволяет:
- получить голоса,
- принять решение,
- исполнить его
в одном коротком цикле, то governance превращается в точку атаки.
Чему рынок научился после Beanstalk
- ввели snapshot-механики, где учитывается баланс токенов до голосования;
- добавили timelock на исполнение принятых решений;
- ограничили возможность голосовать средствами из flash loan;
- усилили аудит не только смарт-контрактов, но и governance-логики;
- стали разделять обычные и критические управленческие действия.
Главный вывод для инвесторов и пользователей
Безопасность DeFi — это не только “проверенный контракт”. Важно смотреть, как устроено управление протоколом. Даже если код не имеет классических багов, уязвимость в governance может стоить проекту сотни миллионов долларов. 🧠💸
На что обращать внимание перед входом в DeFi-проект
- есть ли timelock на важные решения;
- можно ли захватить голоса через flash loan;
- кто реально контролирует treasury;
- проходил ли аудит механизм управления;
- были ли стресс-тесты модели голосования.
История Beanstalk — напоминание: в крипте уязвим не только код, но и сама архитектура доверия. 🔐
Подборку каналов про Криптовалюты стоит посмотреть тем, кто следит за DeFi, безопасностью протоколов и ключевыми кейсами рынка.