Невелика децентралізована автономна організація (DAO) постраждала від досить значного використання смарт-контракту, що призвело до викрадення з її протоколу приблизно 120 мільйонів доларів.
1 лютого BonqDAO повідомила своїм підписникам у Twitter, що її протокол Bonq був підданий злому Oracle, який дозволив експлуататору маніпулювати ціною токена AllianceBlock (ALBT).
Протокол Bonq був підданий злому Oracle, під час якого експлуататор підвищив ціну ALBT і карбував великі суми BEUR. Потім BEUR було обміняно на інші токени на Uniswap. Потім ціна була знижена майже до нуля, що стало поштовхом до ліквідації ALBT troves.
— BonqDAO (@BonqDAO) 1 Лютого, 2023
Незалежний аналіз Фірма безпеки блокчейну PeckShield оцінила збитки від злому Bonq приблизно в 120 мільйонів доларів США, включаючи 108 мільйонів доларів від 98.65 мільйонів токенів BEUR і 11 мільйонів доларів від 113.8 мільйонів токенів ALBT (wALBT).
Хоча експлойт діяв у кількох транзакціях, найбільша з них склала 82.19 мільйона доларів США о 6:32 за UTC 1 лютого. відповідно до мультиланцюжкового трекера портфоліо DeBank.
Більшість масштабних транзакцій відбулися в мережі Polygon.
Як це сталося
PeckShield пояснив, що експлуататор зміг змінити функцію updatePrice оракула в одному зі смарт-контрактів BonqDAO, що означало, що він міг маніпулювати ціною токена wALBT.
Команда @BonqDAO експлуатується, а його ціновий оракул маніпулюють для збільшення #WALBT ціна. Ось приклад hack tx: https://t.co/YPxXMr2nkf pic.twitter.com/XrzExHY6m1
- PeckShield Inc. (@peckshield) 1 Лютого, 2023
Це спровокувало експлуатацію wALBT і BEUR. Потім хакер обміняв BEUR на суму близько $500,000 113.8 на USDC на Uniswap, а потім спалив усі XNUMX мільйона wALBT, щоб розблокувати ALBT.
Спостерігач безпеки в ланцюжку «Spreek» — який одним із перших помітив експлойт — сказав його 18,800 500,000 підписників у Твіттері, що згодом експлуататор викинув більше токенів BEUR і ALBT на 144 XNUMX доларів США в доларах США та XNUMX ETH ($ 236,000).
PeckShield та інші відзначили, що ціна токенів BEUR і ALBT значно впала за короткий період часу:
Потім актор йде, вилучаючи незаконні прибутки з 113.8 млн #WALBT і 98 млн #BEUR (оцінюється >10 мільйонів доларів). Деякі з цих токенів потім скидаються, що призводить до значного падіння! #WALBT знизився на >50% і #BEUR знизився на 34% pic.twitter.com/HEYxrcaB5Y
- PeckShield Inc. (@peckshield) 1 Лютого, 2023
У наступному твіті BonqDAO повідомила, що призупинила роботу протоколу та працює над рішенням для відновлення.
«Інші знахідки залишаються незмінними. Протокол Bonq призупинено. Ми працюємо над рішенням, яке дозволить користувачам зняти всю заставу, що залишилася, не виплачуючи суми BEUR. Він буде опублікований завтра вранці за центральноєвропейським часом", - йдеться в повідомленні.
AllianceBlock — емітенти токенів ALBT — також поділився новиною 1 лютого, пояснивши своїм 51,300 113.8 підписникам у Twitter, що експлойтеру вдалося отримати доступ до XNUMX мільйонів токенів ALBT.
Команда перебуває в процесі видалення всієї ліквідності на Bonq і призупинила біржову торгівлю, додавши, що жодні смарт-контракти на AllianceBlock не використовувалися.
ОГОЛОШЕННЯ
Нещодавно стався інцидент із кількома ALBT Troves на Bonq, коли зловмисник отримав доступ до приблизно 110 млн ALBT.
Інцидент ізольований для цих Troves. Жоден із наших смарт-контрактів не було порушено чи скомпрометовано. pic.twitter.com/puntkIPK3G
— AllianceBlock (@allianceblock) 1 Лютого, 2023
У повідомленні від AllianceBlock також додано, що вони будуть карбувати для них нові токени ALBT під впливом експлойту до моменту оголошення.
За темою: Tribe DAO голосує за відшкодування жертвам злому Rari на суму 80 мільйонів доларів
BonqDAO - це децентралізована автономна організація який має на меті надавати самостійні фінансові послуги окремим особам і підприємствам без відсотків, не відмовляючись від права власності на їхні активи.
AllianceBlock — це децентралізована інфраструктурна платформа, яка з’єднує традиційні фінансові установи з додатками Web3.
Джерело: https://cointelegraph.com/news/bonqdao-protocol-suffers-120m-loss-after-oracle-hack