Ένας μικρός αποκεντρωμένος αυτόνομος οργανισμός (DAO) έχει υποστεί μια αρκετά σημαντική εκμετάλλευση έξυπνων συμβολαίων, με αποτέλεσμα να κλαπούν περίπου 120 εκατομμύρια δολάρια από το πρωτόκολλό του.
Η BonqDAO είπε στους οπαδούς της στο Twitter την 1η Φεβρουαρίου ότι το πρωτόκολλό της Bonq είχε εκτεθεί σε hack του oracle που επέτρεψε στον εκμεταλλευτή να χειραγωγήσει την τιμή του διακριτικού AllianceBlock (ALBT).
Το πρωτόκολλο Bonq εκτέθηκε σε hack του oracle, όπου ο exploiter αύξησε την τιμή ALBT και έκοψε μεγάλες ποσότητες BEUR. Στη συνέχεια, το BEUR ανταλλάχθηκε με άλλα διακριτικά στο Uniswap. Στη συνέχεια, η τιμή μειώθηκε σχεδόν στο μηδέν, γεγονός που πυροδότησε τη ρευστοποίηση της ALBT troves.
— BonqDAO (@BonqDAO) Φεβρουάριος 1, 2023
Μια ανεξάρτητη ανάλυση από την εταιρεία ασφάλειας blockchain PeckShield υπολόγισε ότι η απώλεια από το hack Bonq είναι περίπου 120 εκατομμύρια δολάρια, που περιλαμβάνει 108 εκατομμύρια δολάρια από 98.65 εκατομμύρια μάρκες BEUR και 11 εκατομμύρια δολάρια από 113.8 εκατομμύρια κουπόνια περιτυλιγμένα με ALBT (wALBT).
Ενώ η εκμετάλλευση τέθηκε σε ισχύ σε πολλές συναλλαγές, η μεγαλύτερη ήταν 82.19 εκατομμύρια δολάρια στις 6:32 μ.μ. ώρα UTC την 1η Φεβρουαρίου, σύμφωνα με στον multichain tracker χαρτοφυλακίου DeBank.
Οι περισσότερες συναλλαγές μεγάλης κλίμακας πραγματοποιήθηκαν στο δίκτυο του Polygon.
Πως εγινε
Ο PeckShield εξήγησε ότι ο εκμεταλλευτής μπόρεσε να αλλάξει τη συνάρτηση updatePrice του oracle σε ένα από τα έξυπνα συμβόλαια της BonqDAO, πράγμα που σήμαινε ότι ήταν σε θέση να χειραγωγήσει την τιμή του διακριτικού wALBT.
Η @BonqDAO εκμεταλλεύεται και ο χρησμός της τιμής του χειραγωγείται για να αυξήσει το #WALBT τιμή. Εδώ είναι το παράδειγμα hack tx: https://t.co/YPxXMr2nkf pic.twitter.com/XrzExHY6m1
- PeckShield Inc. (@peckshield) Φεβρουάριος 1, 2023
Αυτό πυροδότησε την εκμετάλλευση των wALBT και BEUR. Στη συνέχεια, ο χάκερ αντάλλαξε BEUR αξίας περίπου 500,000 δολαρίων με USDC στο Uniswap πριν κάψει και τα 113.8 εκατομμύρια wALBT για να ξεκλειδώσει το ALBT.
Ο παρατηρητής ασφαλείας στην αλυσίδα "Spreek" - ο οποίος ήταν ένας από τους πρώτους που εντόπισαν το εκμεταλλεύσιμο - είπε τους 18,800 οπαδούς του στο Twitter ότι ο εκμεταλλευτής πέταξε αργότερα περισσότερα μάρκες BEUR και ALBT για 500,000 $ σε USDC και 144 ETH ($ 236,000)
Ο PeckShield και άλλοι σημείωσαν ότι η τιμή των κουπονιών BEUR και ALBT μειώθηκε σημαντικά σε σύντομο χρονικό διάστημα:
Στη συνέχεια, ο ηθοποιός απομακρύνεται αποσύροντας τα παράνομα κέρδη με 113.8 εκατ #WALBT και 98 εκ #BEUR (αξία > 10 εκατ. $). Ορισμένα από αυτά τα διακριτικά στη συνέχεια απορρίπτονται, με αποτέλεσμα τη σημαντική πτώση! #WALBT μειώθηκε κατά >50% και #BEUR μειώθηκε κατά 34% pic.twitter.com/HEYxrcaB5Y
- PeckShield Inc. (@peckshield) Φεβρουάριος 1, 2023
Σε ένα επόμενο tweet, η BonqDAO είπε ότι έχει διακόψει το πρωτόκολλο και εργάζεται σε μια λύση ανάκτησης.
«Άλλα κουπόνια παραμένουν ανεπηρέαστα. Το πρωτόκολλο Bonq έχει τεθεί σε παύση. Εργαζόμαστε πάνω σε μια λύση που θα επιτρέπει στους χρήστες να αποσύρουν όλες τις υπόλοιπες εξασφαλίσεις χωρίς να εξοφλήσουν το ποσό των BEUR. Θα κυκλοφορήσει αύριο το πρωί CET», ανέφερε.
Η AllianceBlock —οι εκδότες διακριτικών της ALBT— μοιράστηκε επίσης τα νέα την 1η Φεβρουαρίου, εξηγώντας στους 51,300 οπαδούς της στο Twitter ότι ένας εκμεταλλευτής κατάφερε να αποκτήσει πρόσβαση σε 113.8 εκατομμύρια μάρκες ALBT.
Η ομάδα βρίσκεται στη διαδικασία αφαίρεσης όλης της ρευστότητας στο Bonq και έχει σταματήσει τις συναλλαγές στο χρηματιστήριο, είπε, προσθέτοντας ότι δεν έγινε εκμετάλλευση έξυπνων συμβάσεων στο AllianceBlock.
ΑΝΑΚΟΙΝΩΣΗ
Υπήρξε ένα πρόσφατο περιστατικό με πολλά ALBT Troves στο Bonq, με τον εισβολέα να αποκτά πρόσβαση σε περίπου 110M ALBT.
Το περιστατικό είναι απομονωμένο σε αυτά τα Troves. Κανένα από τα έξυπνα συμβόλαιά μας δεν παραβιάστηκε ή παραβιάστηκε. pic.twitter.com/puntkIPK3G
- AllianceBlock (@allianceblock) Φεβρουάριος 1, 2023
Η ανακοίνωση από το AllianceBlock πρόσθεσε επίσης ότι θα κόβουν νέα διακριτικά ALBT σε αυτά επηρεάζονται από την εκμετάλλευση μέχρι την ώρα της ανακοίνωσης.
Συγγενεύων: Το Tribe DAO ψηφίζει υπέρ της αποπληρωμής των θυμάτων από το hack Rari 80 εκατομμυρίων δολαρίων
Το BonqDAO είναι ένα αποκεντρωμένη αυτόνομη οργάνωση που στοχεύει στην παροχή αυτοκυριαρχικών χρηματοοικονομικών υπηρεσιών σε ιδιώτες και επιχειρήσεις άτοκα χωρίς να εγκαταλείπουν την ιδιοκτησία των περιουσιακών τους στοιχείων.
Το AllianceBlock είναι μια αποκεντρωμένη πλατφόρμα υποδομής που συνδέει παραδοσιακά χρηματοπιστωτικά ιδρύματα με εφαρμογές Web3.
Πηγή: https://cointelegraph.com/news/bonqdao-protocol-suffers-120m-loss-after-oracle-hack