Протокол BonqDAO терпит убытки в размере $120 млн после взлома oracle
Небольшая децентрализованная автономная организация (DAO) пострадала от довольно крупного взлома смарт-контракта, в результате чего из ее протокола было похищено около 120 миллионов долларов.
BonqDAO сообщила своим подписчикам в Twitter 1 февраля, что ее протокол Bonq подвергся оракловому взлому, который позволил эксплойтеру манипулировать ценой токена AllianceBlock (ALBT).
Протокол Bonq был подвержен оракловому взлому, в результате которого эксплойтер повысил цену ALBT и намайнил большое количество BEUR. Затем BEUR обменивался на другие токены на Uniswap. Затем цена была снижена почти до нуля, что вызвало ликвидацию хранилищ ALBT.
— BonqDAO (@BonqDAO) 1 февраля 2023 г.
Независимый анализ компании PeckShield, специализирующейся на безопасности блокчейна, оценил убытки от взлома Bonq примерно в $120 млн, в том числе $108 млн от 98,65 млн токенов BEUR и $11 млн от 113,8 млн токенов wrapped-ALBT (wALBT).
Хотя эксплойт действовал в течение нескольких транзакций, самая крупная составила 82,19 млн долларов в 18:32 по Гринвичу 1 февраля, согласно данным мультичейн-трекера портфелей DeBank.
Большинство крупных транзакций было проведено в сети Polygon.
Как это произошло
PeckShield объяснил, что эксплойтер смог изменить функцию updatePrice оракула в одном из смарт-контрактов BonqDAO, что означало, что они смогли манипулировать ценой токена wALBT.
Эксплуатация @BonqDAO и манипулирование его ценовым оракулом с целью повышения цены #WALBT. Вот пример взлома: pic.twitter.com/XrzExHY6m1
— PeckShield Inc. (@peckshield) 1 февраля 2023 г.
Это вызвало эксплуатацию wALBT и BEUR. Затем хакер обменял BEUR на USDC на Uniswap на сумму около $500 000, после чего сжег все 113,8 млн. wALBT, чтобы разблокировать ALBT.
Наблюдатель за безопасностью цепочки «Spreek», который одним из первых обнаружил эксплойт, сообщил своим 18 800 подписчикам в Твиттере, что позже хакер обменял еще больше токенов BEUR и ALBT на 500 000 долларов США в USDC и 144 ETH (236 000 долларов США).
PeckShield и другие отметили, что цена токенов BEUR и ALBT значительно снизилась за короткий промежуток времени:
Затем актер уходит, выведя незаконно нажитые 113,8M #WALBT и 98M #BEUR (стоимостью> $10M). Некоторые из этих токенов затем сбрасываются, что приводит к значительному падению! #WALBT упал на>50%, а #BEUR — на 34% pic.twitter.com/HEYxrcaB5Y
— PeckShield Inc. (@peckshield) 1 февраля 2023 г.
В последующем твите BonqDAO сообщила, что приостановила протокол и работает над решением по восстановлению.
«Другие рощи остаются незатронутыми. Протокол Bonq был приостановлен. Мы работаем над решением, которое позволит пользователям вывести все оставшиеся залоги без погашения BEUR в тровеях. Оно будет выпущено завтра утром по среднеевропейскому времени», — говорится в сообщении.
AllianceBlock — эмитенты токенов ALBT — также поделились новостями 1 февраля, объяснив своим 51 300 подписчикам в Twitter, что эксплойеру удалось получить доступ к 113,8 млн токенов ALBT.
Команда находится в процессе удаления всей ликвидности на Bonq и приостановила биржевые торги, сообщила она, добавив, что ни один смарт-контракт на AllianceBlock не подвергался эксплуатации.
ОБЪЯВЛЕНИЕ
Недавно произошел инцидент, связанный с несколькими тровами ALBT на Bonq, в результате которого злоумышленник получил доступ к примерно 110 млн. ALBT.
Инцидент связан только с этими тровами. Ни один из наших смарт-контрактов не был нарушен или скомпрометирован. pic.twitter.com/puntkIPK3G
— AllianceBlock (@allianceblock) 1 февраля 2023 г.
В заявлении AllianceBlock также добавлено, что они будут чеканить новые токены ALBT для тех, кто пострадал от эксплойта, вплоть до момента объявления.
BonqDAO — это децентрализованная автономная организация, целью которой является предоставление суверенных финансовых услуг физическим и юридическим лицам беспроцентно без отказа от права собственности на их активы.
AllianceBlock — децентрализованная инфраструктурная платформа, соединяющая традиционные финансовые учреждения с Web3-приложениями.