Малка децентрализирана автономна организация (DAO) претърпя доста значителна експлоатация на интелигентен договор, което доведе до около 120 милиона долара, откраднати от нейния протокол.
BonqDAO каза на своите последователи в Twitter на 1 февруари, че неговият протокол Bonq е бил изложен на оракул хак, който е позволил на експлоататора да манипулира цената на токена AllianceBlock (ALBT).
Протоколът Bonq беше изложен на хакване на оракул, при което експлоататорът увеличи цената на ALBT и изсече големи количества BEUR. След това BEUR беше разменен за други токени на Uniswap. След това цената беше намалена почти до нула, което предизвика ликвидацията на ALBT troves.
— BonqDAO (@BonqDAO) Февруари 1, 2023
Независим анализ от фирмата за сигурност на блокчейн PeckShield изчисли загубата от хакването на Bonq на около 120 милиона долара, включващи 108 милиона долара от 98.65 милиона BEUR токени и 11 милиона долара от 113.8 милиона опаковани ALBT (wALBT) токени.
Въпреки че експлойтът влезе в сила при няколко транзакции, най-голямата беше 82.19 милиона долара в 6:32 часа UTC на 1 февруари, според към инструмента за проследяване на многоверижно портфолио DeBank.
Повечето от мащабните транзакции са извършени в мрежата Polygon.
Как се случи
PeckShield обясни, че експлоататорът е успял да промени функцията updatePrice на оракула в един от интелигентните договори на BonqDAO, което означава, че те са били в състояние да манипулират цената на токена wALBT.
- @BonqDAO се експлоатира и неговият ценови оракул се манипулира за увеличаване на #WALBT цена. Ето примерния хак tx: https://t.co/YPxXMr2nkf pic.twitter.com/XrzExHY6m1
- PeckShield Inc. (@peckshield) Февруари 1, 2023
Това предизвика експлоатацията на wALBT и BEUR. След това хакерът размени BEUR на стойност около $500,000 113.8 за USDC на Uniswap, преди да изгори всичките XNUMX милиона wALBT, за да отключи ALBT.
Наблюдател на сигурността във веригата „Spreek“ — който беше един от първите, забелязали експлойта — каза неговите 18,800 500,000 последователи в Twitter, че експлоататорът по-късно изхвърли още BEUR и ALBT токени за $144 XNUMX в USDC и XNUMX ETH ($ 236,000).
PeckShield и други отбелязаха, че цената на токените BEUR и ALBT е спаднала значително за кратък период от време:
След това актьорът си тръгва, като изтегля незаконните печалби със 113.8 милиона #WALBT и 98M #BEUR (на стойност > $10 милиона). Някои от тези жетони след това се изхвърлят, което води до голям спад! #WALBT спадна с >50% и #BEUR намалено от 34% pic.twitter.com/HEYxrcaB5Y
- PeckShield Inc. (@peckshield) Февруари 1, 2023
В последващ туит BonqDAO каза, че е поставил на пауза протокола и работи върху решение за възстановяване.
„Други находки остават незасегнати. Протоколът Bonq е поставен на пауза. Работим върху решение, което ще позволи на потребителите да изтеглят цялото оставащо обезпечение, без да изплащат BEUR в натрупаните средства. Ще бъде пуснат утре сутрин централноевропейско време“, се казва в съобщението.
AllianceBlock — издателите на токени на ALBT — също сподели новината на 1 февруари, обяснявайки на своите 51,300 113.8 последователи в Twitter, че експлоататор е успял да получи достъп до XNUMX милиона ALBT токена.
Екипът е в процес на премахване на цялата ликвидност на Bonq и е спрял борсовата търговия, каза той, добавяйки, че не са използвани интелигентни договори на AllianceBlock.
СЪОБЩЕНИЕ
Имаше скорошен инцидент, включващ няколко ALBT Troves на Bonq, като нападателят получи достъп до около 110M ALBT.
Инцидентът е изолиран за тези Troves. Нито един от нашите интелигентни договори не беше нарушен или компрометиран. pic.twitter.com/puntkIPK3G
— AllianceBlock (@allianceblock) Февруари 1, 2023
Съобщението от AllianceBlock също така добави, че те ще секат нови ALBT токени за тях засегнати от експлойта до момента на обявяването.
Свързани: Tribe DAO гласува в полза на изплащането на жертвите на $80 милиона хакване на Rari
BonqDAO е a децентрализирана автономна организация който има за цел да предоставя самостоятелни финансови услуги на физически лица и фирми без лихва, без да се отказва от собствеността върху техните активи.
AllianceBlock е децентрализирана инфраструктурна платформа, която свързва традиционни финансови институции с Web3 приложения.
Източник: https://cointelegraph.com/news/bonqdao-protocol-suffers-120m-loss-after-oracle-hack