En liten desentralisert autonom organisasjon (DAO) har lidd av en ganske betydelig smart kontraktsutnyttelse, noe som førte til at anslagsvis 120 millioner dollar ble stjålet fra protokollen.
BonqDAO fortalte sine Twitter-følgere 1. februar at Bonq-protokollen ble utsatt for et orakelhack som tillot utnytteren å manipulere prisen på AllianceBlock (ALBT) token.
Bonq-protokollen ble utsatt for et orakelhack, der utnytter økte ALBT-prisen og preget store mengder BEUR. BEUR ble deretter byttet mot andre tokens på Uniswap. Deretter ble prisen redusert til nesten null, noe som utløste avviklingen av ALBT troves.
— BonqDAO (@BonqDAO) Februar 1, 2023
En uavhengig analyse fra blockchain-sikkerhetsfirmaet PeckShield har estimert tapet fra Bonq-hacket til å være rundt 120 millioner dollar, bestående av 108 millioner dollar fra 98.65 millioner BEUR-tokens og 11 millioner dollar fra 113.8 millioner wrapped-ALBT (wALBT)-tokens.
Mens utnyttelsen trådte i kraft over flere transaksjoner, var den største på 82.19 millioner dollar kl. 6:32 UTC-tid 1. februar, ifølge til flerkjedeporteføljesporing DeBank.
De fleste transaksjonene i høy skala fant sted på Polygon-nettverket.
Hvordan det skjedde
PeckShield forklarte at utnytteren var i stand til å endre updatePrice-funksjonen til oraklet i en av BonqDAOs smarte kontrakter, noe som betydde at de var i stand til å manipulere prisen på wALBT-tokenet.
De @BonqDAO blir utnyttet og prisoraklet manipuleres for å øke #WALBT pris. Her er eksempelet på hack tx: https://t.co/YPxXMr2nkf pic.twitter.com/XrzExHY6m1
- PeckShield Inc. (@peckshield) Februar 1, 2023
Dette utløste utnyttelsen av wALBT og BEUR. Hackeren byttet deretter rundt $500,000 113.8 verdt av BEUR for USDC på Uniswap før han brente alle XNUMX millioner wALBT for å låse opp ALBT.
Sikkerhetsobservatøren «Spreek» – som var en av de første som oppdaget utnyttelsen – fortalte hans 18,800 Twitter-følgere at utnytteren senere dumpet flere BEUR- og ALBT-tokens for $500,000 i USDC og 144 ETH ($ 236,000).
PeckShield og andre bemerket at prisen på BEUR- og ALBT-tokenene gikk betydelig ned på kort tid:
Skuespilleren går deretter bort ved å trekke tilbake de ulovlige gevinstene med 113.8 millioner #WALBT og 98 millioner #BEUR (verdi >10 millioner dollar). Noen av disse tokenene blir deretter dumpet, noe som resulterer i et stort fall! #WALBT falt med >50 % og #BEUR falt med 34% pic.twitter.com/HEYxrcaB5Y
- PeckShield Inc. (@peckshield) Februar 1, 2023
I en oppfølgings-tweet sa BonqDAO at den har satt protokollen på pause og jobber med en gjenopprettingsløsning.
"Andre troves forblir upåvirket. Bonq-protokollen er satt på pause. Vi jobber med en løsning som vil tillate brukere å trekke tilbake all gjenværende sikkerhet uten å betale tilbake BEUR i troves. Den vil bli utgitt i morgen tidlig CET, heter det.
AllianceBlock – token-utstederne av ALBT – delte også nyhetene 1. februar, og forklarte til sine 51,300 113.8 Twitter-følgere at en utnytter klarte å få tilgang til XNUMX millioner ALBT-tokens.
Teamet er i ferd med å fjerne all likviditet på Bonq og har stoppet børshandel, heter det, og la til at ingen smarte kontrakter ble utnyttet på AllianceBlock.
KUNNGJØRING
Det har nylig vært en hendelse som involverte flere ALBT Troves på Bonq, hvor angriperen fikk tilgang til rundt 110M ALBT.
Hendelsen er isolert til disse Troves. Ingen av våre smarte kontrakter ble brutt eller kompromittert. pic.twitter.com/puntkIPK3G
- AllianceBlock (@allianceblock) Februar 1, 2023
Kunngjøringen fra AllianceBlock la også til at de ville prege nye ALBT-tokens til disse påvirket av utnyttelsen frem til tidspunktet for kunngjøringen.
Relatert: Tribe DAO stemmer for å betale tilbake ofre for $80M Rari-hack
BonqDAO er en desentralisert autonom organisasjon som tar sikte på å tilby selvstendige finansielle tjenester til enkeltpersoner og bedrifter rentefrie uten å gi opp eierskapet til deres eiendeler.
AllianceBlock er en desentralisert infrastrukturplattform som kobler tradisjonelle finansinstitusjoner til Web3-applikasjoner.
Kilde: https://cointelegraph.com/news/bonqdao-protocol-suffers-120m-loss-after-oracle-hack