En lille decentraliseret autonom organisation (DAO) har været udsat for en ret stor smart kontraktudnyttelse, hvilket førte til, at anslået $120 millioner blev stjålet fra dens protokol.
BonqDAO fortalte sine Twitter-følgere den 1. februar, at dens Bonq-protokol var udsat for et orakelhack, der gjorde det muligt for udnytteren at manipulere prisen på AllianceBlock (ALBT) token.
Bonq-protokollen blev udsat for et orakelhack, hvor udbytteren øgede ALBT-prisen og prægede store mængder BEUR. BEUR'en blev derefter byttet til andre tokens på Uniswap. Derefter blev prisen sænket til næsten nul, hvilket udløste likvidationen af ALBT troves.
— BonqDAO (@BonqDAO) Februar 1, 2023
En uafhængig analyse fra blockchain-sikkerhedsfirmaet PeckShield har anslået tabet fra Bonq-hacket til at være omkring 120 millioner dollars, omfattende 108 millioner dollars fra 98.65 millioner BEUR-tokens og 11 millioner dollars fra 113.8 millioner wrapped-ALBT (wALBT)-tokens.
Mens udnyttelsen trådte i kraft over flere transaktioner, var den største $82.19 millioner kl. 6:32 UTC-tid den 1. februar, ifølge til multichain portfolio tracker DeBank.
De fleste af transaktionerne i høj skala fandt sted på Polygon-netværket.
Hvordan det skete
PeckShield forklarede, at udnytteren var i stand til at ændre oraklets updatePrice-funktion i en af BonqDAOs smarte kontrakter, hvilket betød, at de var i stand til at manipulere prisen på wALBT-tokenet.
@BonqDAO udnyttes, og dets prisorakel manipuleres for at øge #WALBT pris. Her er eksemplet på hack tx: https://t.co/YPxXMr2nkf pic.twitter.com/XrzExHY6m1
- PeckShield Inc. (@peckshield) Februar 1, 2023
Dette udløste udnyttelsen af wALBT og BEUR. Hackeren byttede derefter omkring 500,000 USD i BEUR til USDC på Uniswap, før han brændte alle 113.8 millioner wALBT for at låse ALBT op.
On-chain sikkerhedsobservatør "Spreek" - som var en af de første til at opdage udnyttelsen - fortalt hans 18,800 Twitter-tilhængere, at udnytteren senere dumpede flere BEUR- og ALBT-tokens for $500,000 i USDC og 144 ETH ($ 236,000).
PeckShield og andre bemærkede, at prisen på BEUR- og ALBT-tokens faldt betydeligt på kort tid:
Skuespilleren går derefter væk ved at trække de ulovlige gevinster tilbage med 113.8 mio #WALBT og 98 mio #BEUR (vurderet >10 mio. USD). Nogle af disse tokens bliver derefter dumpet, hvilket resulterer i et stort fald! #WALBT faldet med >50 % og #BEUR faldt med 34% pic.twitter.com/HEYxrcaB5Y
- PeckShield Inc. (@peckshield) Februar 1, 2023
I et opfølgende tweet sagde BonqDAO, at det har sat protokollen på pause og arbejder på en genoprettelsesløsning.
"Andre troves forbliver upåvirkede. Bonq-protokollen er blevet sat på pause. Vi arbejder på en løsning, der vil give brugerne mulighed for at hæve al resterende sikkerhed uden at betale BEUR tilbage. Det vil blive frigivet i morgen tidlig CET,” stod der.
AllianceBlock - token-udstederne af ALBT - delte også nyheden den 1. februar og forklarede sine 51,300 Twitter-tilhængere, at en udnytter formåede at få adgang til 113.8 millioner ALBT-tokens.
Holdet er i gang med at fjerne al likviditet på Bonq og har stoppet børshandel, sagde det og tilføjede, at ingen smarte kontrakter blev udnyttet på AllianceBlock.
BEKENDTGØRELSE
Der har for nylig været en hændelse, der involverer flere ALBT Troves på Bonq, hvor angriberen fik adgang til omkring 110M ALBT.
Hændelsen er isoleret til disse Troves. Ingen af vores smarte kontrakter blev brudt eller kompromitteret. pic.twitter.com/puntkIPK3G
— AllianceBlock (@allianceblock) Februar 1, 2023
Meddelelsen fra AllianceBlock tilføjede også, at de ville præge nye ALBT-tokens til dem påvirket af udnyttelsen indtil tidspunktet for annonceringen.
Relateret: Stamme DAO stemmer for tilbagebetaling af ofre for $80 millioner Rari-hack
BonqDAO er en decentral autonom organisation der sigter mod at levere selvstændige finansielle tjenesteydelser til enkeltpersoner og virksomheder rentefrit uden at opgive ejendomsretten til deres aktiver.
AllianceBlock er en decentraliseret infrastrukturplatform, der forbinder traditionelle finansielle institutioner til Web3-applikationer.
Kilde: https://cointelegraph.com/news/bonqdao-protocol-suffers-120m-loss-after-oracle-hack