Majhna decentralizirana avtonomna organizacija (DAO) je bila deležna precejšnjega izkoriščanja pametne pogodbe, zaradi česar je bilo iz njenega protokola ukradenih približno 120 milijonov dolarjev.
BonqDAO je svojim sledilcem na Twitterju 1. februarja sporočil, da je bil njegov protokol Bonq izpostavljen orakeljskemu vdoru, ki je izkoriščevalcu omogočil manipulacijo s ceno žetona AllianceBlock (ALBT).
Protokol Bonq je bil izpostavljen vdoru v Oracle, kjer je izkoriščevalec zvišal ceno ALBT in koval velike količine BEUR. BEUR je bil nato na Uniswapu zamenjan za druge žetone. Nato se je cena znižala skoraj na nič, kar je sprožilo likvidacijo trgov ALBT.
— BonqDAO (@BonqDAO) Februar 1, 2023
Neodvisno Analiza varnostno podjetje za verigo blokov PeckShield je ocenilo izgubo zaradi vdora v Bonq na približno 120 milijonov dolarjev, od tega 108 milijonov dolarjev iz 98.65 milijona žetonov BEUR in 11 milijonov dolarjev iz 113.8 milijona zavitih žetonov ALBT (wALBT).
Medtem ko je izkoriščanje vplivalo na več transakcij, je največja znašala 82.19 milijona dolarjev ob 6:32 po UTC 1. februarja, po večverižnemu sledilniku portfelja DeBank.
Večina velikih transakcij je potekala v omrežju Polygon.
Kako se je zgodilo
PeckShield je pojasnil, da je izkoriščevalec lahko spremenil funkcijo updatePrice oraklja v eni od pametnih pogodb BonqDAO, kar je pomenilo, da so lahko manipulirali s ceno žetona wALBT.
O @BonqDAO se izkorišča in njegov cenovni orakelj se manipulira za povečanje #WALBT cena. Tukaj je primer hack tx: https://t.co/YPxXMr2nkf pic.twitter.com/XrzExHY6m1
- PeckShield Inc. (@peckshield) Februar 1, 2023
To je sprožilo izkoriščanje wALBT in BEUR. Heker je nato na Uniswapu zamenjal BEUR v vrednosti približno 500,000 $ za USDC, preden je zažgal vseh 113.8 milijona wALBT, da bi odklenil ALBT.
Varnostni opazovalec v verigi »Spreek« — ki je bil eden prvih, ki je opazil izkoriščanje — Rekel njegovih 18,800 sledilcev na Twitterju, da je izkoriščevalec pozneje odložil več žetonov BEUR in ALBT za 500,000 $ v USDC in 144 ETH ($ 236,000).
PeckShield in drugi so ugotovili, da se je cena žetonov BEUR in ALBT v kratkem času znatno znižala:
Igralec nato odide in umakne nezakoniti dobiček s 113.8 milijona #WALBT in 98 mio #BEUR (v vrednosti > 10 milijonov USD). Nekateri od teh žetonov se nato zavržejo, kar povzroči velik padec! #WALBT padla za >50 % in #BEUR zbrisal 34% pic.twitter.com/HEYxrcaB5Y
- PeckShield Inc. (@peckshield) Februar 1, 2023
V nadaljnjem tvitu je BonqDAO dejal, da je zaustavil protokol in dela na rešitvi za obnovitev.
»Druge najdbe ostanejo nespremenjene. Protokol Bonq je bil zaustavljen. Delamo na rešitvi, ki bo uporabnikom omogočila umik vseh preostalih zavarovanj, ne da bi odplačali BEUR v blagajni. Objavljeno bo jutri zjutraj po srednjeevropskem času,« so sporočili.
AllianceBlock – izdajatelji žetonov ALBT – so prav tako delili novico 1. februarja in svojim 51,300 sledilcem na Twitterju razložili, da je izkoriščevalcu uspelo pridobiti dostop do 113.8 milijona žetonov ALBT.
Ekipa je v postopku odstranjevanja vse likvidnosti na Bonqu in je ustavila trgovanje na borzi, so sporočili in dodali, da na AllianceBlocku niso bile izkoriščene nobene pametne pogodbe.
OBJAVA
Nedavni incident je vključeval več ALBT Troves na Bonqu, pri čemer je napadalec pridobil dostop do približno 110M ALBT.
Incident je izoliran za te Troves. Nobena od naših pametnih pogodb ni bila kršena ali ogrožena. pic.twitter.com/puntkIPK3G
- AllianceBlock (@allianceblock) Februar 1, 2023
Obvestilo AllianceBlock je dodalo tudi, da bodo zanje kovali nove žetone ALBT pod vplivom izkoriščanja do objave.
Povezano: Tribe DAO glasuje za poplačilo žrtvam vdora v Rari v vrednosti 80 milijonov dolarjev
BonqDAO je a decentralizirana avtonomna organizacija katerega namen je zagotavljati neodvisne finančne storitve posameznikom in podjetjem brez obresti, ne da bi se odrekli lastništvu svojih sredstev.
AllianceBlock je decentralizirana infrastrukturna platforma, ki povezuje tradicionalne finančne institucije z aplikacijami Web3.
Vir: https://cointelegraph.com/news/bonqdao-protocol-suffers-120m-loss-after-oracle-hack