Невялікая дэцэнтралізаваная аўтаномная арганізацыя (DAO) пацярпела ад даволі значнага выкарыстання смарт-кантрактаў, што прывяло да крадзяжу з яе пратакола прыкладна 120 мільёнаў долараў.
BonqDAO паведаміў сваім падпісчыкам у Twitter 1 лютага, што яго пратакол Bonq падвергся ўзлому аракула, які дазволіў эксплуататару маніпуляваць цаной токена AllianceBlock (ALBT).
Пратакол Bonq падвергся ўзлому Oracle, у выніку якога эксплуататар павялічыў цану ALBT і чаканіў вялікія сумы BEUR. Затым BEUR быў заменены на іншыя токены на Uniswap. Затым цана была зніжана амаль да нуля, што стала прычынай ліквідацыі ALBT troves.
— BonqDAO (@BonqDAO) Люты 1, 2023
незалежны аналіз кампанія па бяспецы блокчейна PeckShield ацаніла страты ад узлому Bonq прыкладна ў 120 мільёнаў долараў, у тым ліку 108 мільёнаў долараў ад 98.65 мільёнаў токенаў BEUR і 11 мільёнаў долараў ад 113.8 мільёнаў токенаў ALBT (wALBT).
У той час як эксплойт дзейнічаў у некалькіх транзакцыях, самая буйная склала 82.19 мільёна долараў у 6:32 па UTC 1 лютага, у адпаведнасці да шматланцуговага трэкера партфеля DeBank.
Большая частка буйных транзакцый адбылася ў сетцы Polygon.
Як гэта здарылася
PeckShield растлумачыў, што эксплуататар змог змяніць функцыю updatePrice аракула ў адным са смарт-кантрактаў BonqDAO, што азначала, што яны змаглі маніпуляваць цаной токена wALBT.
,en @BonqDAO эксплуатуецца, і яго цана аракула маніпулюецца, каб павялічыць #WALBT цана. Вось прыклад узлому tx: https://t.co/YPxXMr2nkf pic.twitter.com/XrzExHY6m1
- PeckShield Inc. (@peckshield) Люты 1, 2023
Гэта выклікала эксплуатацыю wALBT і BEUR. Затым хакер абмяняў BEUR на суму каля 500,000 113.8 долараў на USDC на Uniswap, перш чым спаліць усе XNUMX мільёна wALBT, каб разблакіраваць ALBT.
Назіральнік бяспекі ў ланцугу «Spreek» — які адным з першых заўважыў эксплойт — сказаў яго 18,800 500,000 падпісчыкаў у Twitter, што эксплуататар пазней скінуў больш токенаў BEUR і ALBT на 144 XNUMX долараў у USDC і XNUMX ETH ($ 236,000).
PeckShield і іншыя адзначылі, што цана токенаў BEUR і ALBT значна ўпала за кароткі прамежак часу:
Затым акцёр сыходзіць, забіраючы незаконныя даходы з 113.8 млн #WALBT і 98М #БЕЎР (ацэнены >10 мільёнаў долараў). Затым некаторыя з гэтых токенаў выкідваюцца, што прыводзіць да значнага падзення! #WALBT знізіўся на >50% і #БЕЎР знізіўся на 34% pic.twitter.com/HEYxrcaB5Y
- PeckShield Inc. (@peckshield) Люты 1, 2023
У наступным твіце BonqDAO паведаміла, што прыпыніла пратакол і працуе над рашэннем для аднаўлення.
«Іншыя знаходкі застаюцца незакранутымі. Пратакол Bonq быў прыпынены. Мы працуем над рашэннем, якое дазволіць карыстальнікам зняць увесь астатні заклад, не вяртаючы BEUR у скарбонку. Ён будзе апублікаваны заўтра раніцай па цэнтральнаеўрапейскім часе», - гаворыцца ў паведамленні.
AllianceBlock — эмітэнт токенаў ALBT — таксама падзяліўся гэтай навіной 1 лютага, патлумачыўшы сваім 51,300 113.8 падпісчыкам у Твітэры, што эксплуататару ўдалося атрымаць доступ да XNUMX мільёна токенаў ALBT.
Каманда знаходзіцца ў працэсе выдалення ўсёй ліквіднасці на Bonq і спыніла біржавы гандаль, гаворыцца ў паведамленні, дадаючы, што смарт-кантракты на AllianceBlock не выкарыстоўваліся.
АНОНС
Нядаўна адбыўся інцыдэнт з удзелам некалькіх ALBT Troves на Bonq, калі зламыснік атрымаў доступ прыкладна да 110M ALBT.
Інцыдэнт ізаляваны для гэтых Troves. Ні адзін з нашых разумных кантрактаў не быў парушаны або скампраметаваны. pic.twitter.com/puntkIPK3G
— AllianceBlock (@allianceblock) Люты 1, 2023
У паведамленні ад AllianceBlock таксама дадаецца, што яны будуць чаканіць новыя токены ALBT для іх пад уплывам эксплойта да моманту абвяшчэння.
Па тэме: Tribe DAO галасуе за выплату ахвярам узлому Rari на 80 мільёнаў долараў
BonqDAO - гэта дэцэнтралізаваная аўтаномная арганізацыя які накіраваны на прадастаўленне самастойных фінансавых паслуг прыватным асобам і прадпрыемствам без працэнтаў, не адмаўляючыся ад права ўласнасці на іх актывы.
AllianceBlock - гэта дэцэнтралізаваная інфраструктурная платформа, якая злучае традыцыйныя фінансавыя інстытуты з праграмамі Web3.
Крыніца: https://cointelegraph.com/news/bonqdao-protocol-suffers-120m-loss-after-oracle-hack