Reading time: 3 min
02/02/23
BonqDAO straciło 120 000 000 USD
Nowy rok, a przestępcy nie śpią
Zdecentralizowana organizacja autonomiczna (DAO) ucierpiała z powodu dość pokaźnego exploita związanego ze smart contractem, co doprowadziło do kradzieży szacowanych 120 milionów dolarów z jej protokołu.
BonqDAO poinformowało swoich obserwatorów na Twitterze 1 lutego, że ich protokół Bonq został narażony na hack oracle, który pozwolił exploitowi manipulować ceną tokena AllianceBlock (ALBT).
Niezależna analiza z firmy PeckShield zajmującej się bezpieczeństwem blockchain oszacowała straty z powodu shakowania Bonq na około 120 milionów dolarów, w tym 108 milionów dolarów z tokenów BEUR i 11 milionów dolarów z tokenów wrapped-ALBT (wALBT). Podczas gdy exploit zadziałał w ciągu kilku transakcji, największa wyniosła 82,19 mln USD o godzinie 18:32 czasu UTC 1 lutego.
Większość transakcji na dużą skalę odbyło się na sieci Polygon.
W ostatnim włamaniu podmiot był w stanie manipulować ceną tokenów BEUR i ALBT na Uniswap. Podmiot wykorzystał funkcję “updatePrice” w jednym z smart contractów BonqDAO dla wALBT. Dzięki temu mogli zmienić cenę wALBT, uruchamiając eksploatację tokenów BEUR i ALBT. Haker następnie wymienił około 500 000 dolarów BEUR na USDC na Uniswap przed spaleniem wszystkich 113,8 milionów tokenów wALBT, aby odblokować ALBT.
Obserwator bezpieczeństwa on-chain "Spreek" - który jako jeden z pierwszych zauważył exploit - powiedział swoim 18 800 obserwatorom na Twitterze, że exploit później wyrzucił więcej tokenów BEUR i ALBT za 500 000 USDC i 144 ETH (236 000 USD). PeckShield i inni zauważyli, że cena tokenów BEUR i ALBT znacznie spadła w krótkim czasie:
W kolejnym tweecie, BonqDAO powiedziało, że wstrzymał protokół i pracuje nad rozwiązaniem odzyskiwania.
Inne aktywa pozostają nienaruszone. Protokół Bonq został wstrzymany. Pracujemy nad rozwiązaniem, które pozwoli użytkownikom wycofać wszystkie pozostałe zabezpieczenia bez spłacania BEUR w prowizjach. Zostanie ono wydane jutro rano
AllianceBlock jest zdecentralizowaną platformą infrastrukturalną, która łączy tradycyjne instytucje finansowe z aplikacjami Web3. Zespół AllianceBlock poinformował, że exploit na token ALBT spowodował utratę 113,8 mln tokenów, ale nie jest jeszcze jasne, kto jest odpowiedzialny za exploit.
Zespół jest w trakcie usuwania całej płynności na Bonq i wstrzymał handel giełdowy, powiedział, dodając, że żadne inteligentne kontrakty nie zostały wykorzystane na AllianceBlock. Ogłoszenie od AllianceBlock dodało również, że będą mintować nowe tokeny ALBT osobom dotkniętym exploitem do czasu ogłoszenia.
