Pieni hajautettu autonominen organisaatio (DAO) on kärsinyt melko suuresta älykkäiden sopimusten hyväksikäytöstä, mikä on johtanut arviolta 120 miljoonan dollarin varastamiseen sen protokollasta.
BonqDAO kertoi Twitter-seuraajilleen 1. helmikuuta, että sen Bonq-protokolla oli alttiina oraakkelihakkerille, joka antoi hyväksikäyttäjille mahdollisuuden manipuloida AllianceBlock (ALBT) -tunnuksen hintaa.
Bonq-protokolla joutui oraakkelihakkerointiin, jossa hyödyntäjä nosti ALBT-hintaa ja lyöi suuria määriä BEUR. BEUR vaihdettiin sitten muihin Uniswapin tokeneihin. Sitten hinta laskettiin lähes nollaan, mikä laukaisi ALBT-tilojen selvitystilan.
— BonqDAO (@BonqDAO) Helmikuu 1, 2023
Riippumaton analyysi lohkoketjun tietoturvayhtiö PeckShield on arvioinut Bonq-hakkeroinnin aiheuttaman tappion olevan noin 120 miljoonaa dollaria, joka koostuu 108 miljoonasta dollarista 98.65 miljoonasta BEUR:sta ja 11 miljoonasta dollarista 113.8 miljoonasta kääritystä ALBT (wALBT) -merkistä.
Vaikka hyväksikäyttö vaikutti useisiin tapahtumiin, suurin oli 82.19 miljoonaa dollaria klo 6 UTC-aikaa 32. helmikuuta, mukaan moniketjuiseen salkunseurantaan DeBankiin.
Suurin osa suurista liiketoimista tapahtui Polygon-verkostossa.
Miten se tapahtui
PeckShield selitti, että hyödyntäjä pystyi muuttamaan oraakkelin updatePrice-funktiota yhdessä BonqDAO:n älykkäistä sopimuksista, mikä tarkoitti, että he pystyivät manipuloimaan wALBT-tunnuksen hintaa.
- @BonqDAO hyödynnetään ja sen hinta-oraakkelia manipuloidaan lisäämään #WALBT hinta. Tässä on esimerkki hack tx:stä: https://t.co/YPxXMr2nkf pic.twitter.com/XrzExHY6m1
- PeckShield Inc. (@peckshield) Helmikuu 1, 2023
Tämä laukaisi WALBT:n ja BEUR:n hyväksikäytön. Sitten hakkeri vaihtoi noin 500,000 113.8 dollarin arvosta BEUR:ta USDC:hen Uniswapissa ennen kuin poltti kaikki XNUMX miljoonaa WALBT-tallennusta ALBT:n avaamiseksi.
Ketjussa oleva turvatarkkailija "Spreek" - joka oli yksi ensimmäisistä, jotka havaitsivat hyväksikäytön - kertoi hänen 18,800 500,000 Twitter-seuraajaansa, että hyväksikäyttäjä myi myöhemmin lisää BEUR- ja ALBT-tokeneita 144 XNUMX dollarilla USDC:ssä ja XNUMX ETH ($ 236,000).
PeckShield ja muut huomauttivat, että BEUR- ja ALBT-rahakkeiden hinnat laskivat huomattavasti lyhyessä ajassa:
Sitten näyttelijä kävelee pois nostamalla laittomat voitot 113.8 miljoonalla #WALBT ja 98 milj #BEUR (arvo > 10 miljoonaa dollaria). Jotkut näistä rahakkeista heitetään sitten pois, mikä johtaa suureen pudotukseen! #WALBT laski yli 50 % ja #BEUR laski 34% pic.twitter.com/HEYxrcaB5Y
- PeckShield Inc. (@peckshield) Helmikuu 1, 2023
Seurantatwiitissä BonqDAO sanoi, että se on keskeyttänyt protokollan ja työskentelee palautusratkaisun parissa.
"Muut kohteet säilyvät ennallaan. Bonq-protokolla on keskeytetty. Työskentelemme ratkaisun parissa, jonka avulla käyttäjät voivat nostaa kaikki jäljellä olevat vakuudet ilman BEUR:n takaisinmaksua. Se julkaistaan huomenna aamulla CET, se sanoi.
AllianceBlock – ALBT:n merkkien myöntäjät – jakoi uutisen myös 1. helmikuuta selittäen 51,300 113.8 Twitter-seuraajalleen, että hyväksikäyttäjä onnistui saamaan pääsyn XNUMX miljoonaan ALBT-tunnukseen.
Tiimi on poistamassa kaiken likviditeetin Bonqista ja on pysäyttänyt pörssikaupan, se sanoi ja lisäsi, että AllianceBlockissa ei käytetty älykkäitä sopimuksia.
ILMOITUS
Bonqilla on äskettäin sattunut useita ALBT Troves -tapauksia, joissa hyökkääjä pääsi käsiksi noin 110 miljoonaan ALBT:hen.
Tapaus on eristyksissä näihin Trovesin. Mitään älykkäistä sopimuksistamme ei rikottu tai vaarantunut. pic.twitter.com/puntkIPK3G
- AllianceBlock (@allianceblock) Helmikuu 1, 2023
AllianceBlockin ilmoitus lisäsi myös, että he lyövät niihin uusia ALBT-merkkejä hyväksikäytön vaikutuksiin ilmoitushetkeen asti.
Related: Tribe DAO äänestää 80 miljoonan dollarin Rari-hakkeroinnin uhrien maksamisen puolesta
BonqDAO on a hajautettu autonominen organisaatio jonka tavoitteena on tarjota itsenäisiä rahoituspalveluita yksityishenkilöille ja yrityksille korotta luopumatta omaisuuden omistajuudesta.
AllianceBlock on hajautettu infrastruktuurialusta, joka yhdistää perinteiset rahoituslaitokset Web3-sovelluksiin.
Lähde: https://cointelegraph.com/news/bonqdao-protocol-suffers-120m-loss-after-oracle-hack