Neliela decentralizēta autonoma organizācija (DAO) ir cietusi no diezgan ievērojama viedā līguma izmantošanas, kā rezultātā no tās protokola tika nozagti aptuveni 120 miljoni USD.
BonqDAO saviem Twitter sekotājiem 1. februārī paziņoja, ka tā Bonq protokols tika pakļauts orākulu uzlaušanai, kas ļāva izmantotājam manipulēt ar AllianceBlock (ALBT) marķiera cenu.
Bonq protokols tika pakļauts orākulu uzlaušanai, kur izmantotājs palielināja ALBT cenu un izkala lielus BEUR apjomus. Pēc tam BEUR tika apmainīts pret citiem Uniswap marķieriem. Pēc tam cena tika samazināta līdz gandrīz nullei, kas izraisīja ALBT troves likvidāciju.
— BonqDAO (@BonqDAO) Februāris 1, 2023
Neatkarīgs analīze Blokķēdes drošības firma PeckShield ir aprēķinājusi, ka Bonq uzlaušanas radītie zaudējumi ir aptuveni 120 miljoni USD, kas sastāv no 108 miljoniem USD no 98.65 miljoniem BEUR un 11 miljoniem USD no 113.8 miljoniem iesaiņotu ALBT (wALBT) žetonu.
Kamēr ekspluatācija stājās spēkā vairākos darījumos, lielākais bija 82.19 miljoni ASV dolāru 6. februārī plkst. 32:1 pēc UTC laika. atbilstoši uz daudzķēžu portfeļa izsekotāju DeBank.
Lielākā daļa vērienīgo darījumu notika Polygon tīklā.
Kā tas notika
PeckShield paskaidroja, ka izmantotājs varēja mainīt orākula funkciju updatePrice vienā no BonqDAO viedajiem līgumiem, kas nozīmēja, ka viņi varēja manipulēt ar wALBT marķiera cenu.
Jūsu darbs IR Klientu apkalpošana @BonqDAO tiek izmantots, un tā cenu orākuls tiek manipulēts, lai palielinātu #WALBT cena. Šeit ir hack tx piemērs: https://t.co/YPxXMr2nkf pic.twitter.com/XrzExHY6m1
- PeckShield Inc. (@peckshield) Februāris 1, 2023
Tas izraisīja WALBT un BEUR izmantošanu. Pēc tam hakeris apmainīja aptuveni USD 500,000 113.8 vērtu BEUR pret USDC Uniswap, pirms sadedzināja visus XNUMX miljonus WALBT, lai atbloķētu ALBT.
Ķēdes drošības novērotājs “Sprēks”, kurš bija viens no pirmajiem, kurš pamanīja ekspluatāciju, teica viņa 18,800 500,000 Twitter sekotāju, ka izmantotājs vēlāk izmeta vairāk BEUR un ALBT žetonu par USD 144 XNUMX USDC un XNUMX ETH ($ 236,000).
PeckShield un citi atzīmēja, ka BEUR un ALBT žetonu cena īsā laika periodā ievērojami samazinājās:
Pēc tam aktieris aiziet, atsaucot nelikumīgo peļņu ar 113.8 miljoniem #WALBT un 98 milj #BEUR (vērtība > 10 miljoni USD). Daži no šiem žetoniem pēc tam tiek izmesti, kā rezultātā tiek ievērojami samazināts! #WALBT samazinājās par >50% un #BEUR samazinājās par 34% pic.twitter.com/HEYxrcaB5Y
- PeckShield Inc. (@peckshield) Februāris 1, 2023
Nākamajā tvītā BonqDAO paziņoja, ka ir apturējis protokolu un strādā pie atkopšanas risinājuma.
"Citas vietas paliek neskartas. Bonq protokols ir apturēts. Mēs strādājam pie risinājuma, kas lietotājiem ļaus izņemt visu atlikušo nodrošinājumu, neatmaksājot BEUR. Tas tiks izlaists rīt no rīta pēc Centrāleiropas laika,” teikts tajā.
AllianceBlock — ALBT marķieru izdevēji — arī dalījās ar ziņām 1. februārī, paskaidrojot saviem 51,300 113.8 Twitter sekotājiem, ka izmantotājam izdevies piekļūt XNUMX miljoniem ALBT žetonu.
Komanda pašlaik likvidē Bonq un ir apturējusi biržas tirdzniecību, tā teica, piebilstot, ka AllianceBlock netika izmantoti viedie līgumi.
PAZIŅOJUMS
Nesen ir noticis incidents, kas saistīts ar vairākiem ALBT Troves Bonq, un uzbrucējs ieguva piekļuvi aptuveni 110 miljoniem ALBT.
Incidents ir izolēts tikai no šīm trovām. Neviens no mūsu viedajiem līgumiem netika lauzts vai apdraudēts. pic.twitter.com/puntkIPK3G
— AllianceBlock (@allianceblock) Februāris 1, 2023
AllianceBlock paziņojumā arī tika pievienots, ka viņi tiem izkausēs jaunus ALBT žetonus ietekmējusi izmantošana līdz paziņojuma brīdim.
Saistītie: DAO cilts balso par atlīdzību 80 miljonu dolāru vērtā Rari uzlaušanas upuriem
BonqDAO ir a decentralizēta autonoma organizācija kuras mērķis ir nodrošināt privātpersonām un uzņēmumiem neatkarīgus finanšu pakalpojumus bez procentiem, neatsakoties no īpašumtiesībām uz saviem aktīviem.
AllianceBlock ir decentralizēta infrastruktūras platforma, kas savieno tradicionālās finanšu iestādes ar Web3 lietojumprogrammām.
Avots: https://cointelegraph.com/news/bonqdao-protocol-suffers-120m-loss-after-oracle-hack