Väike detsentraliseeritud autonoomne organisatsioon (DAO) on kannatanud üsna ulatusliku nutika lepingu ärakasutamise all, mille tulemusel varastati selle protokollist hinnanguliselt 120 miljonit dollarit.
BonqDAO teatas 1. veebruaril oma Twitteri jälgijatele, et tema Bonqi protokoll puutus kokku oraakli häkkimisega, mis võimaldas ekspluateerijal AllianceBlocki (ALBT) märgi hinda manipuleerida.
Bonqi protokoll puutus kokku oraakli häkkimisega, kus ärakasutaja tõstis ALBT hinda ja vermib suuri summasid BEUR. Seejärel vahetati BEUR Uniswapis teiste žetoonide vastu. Seejärel langetati hind peaaegu nullini, mis vallandas ALBT-kambrite likvideerimise.
— BonqDAO (@BonqDAO) Veebruar 1, 2023
Sõltumatu analüüs plokiahela turvafirma PeckShield hinnangul on Bonqi häkkimisest tulenev kahju ligikaudu 120 miljonit dollarit, mis koosneb 108 miljonit dollarit 98.65 miljonist BEUR žetoonist ja 11 miljonit dollarit 113.8 miljonist pakendatud ALBT (wALBT) märgist.
Kuigi ärakasutamine jõustus mitme tehingu puhul, oli suurim 82.19. veebruaril kell 6 UTC aja järgi 32 miljonit dollarit, vastavalt mitmeahelalise portfelli jälgija DeBanki juurde.
Suurem osa suuremahulistest tehingutest toimus Polygoni võrgus.
Kuidas see juhtus
PeckShield selgitas, et ärakasutaja suutis ühes BonqDAO nutikas lepingus muuta oraakli funktsiooni updatePrice, mis tähendas, et nad said manipuleerida wALBT-märgi hinda.
. @BonqDAO kasutatakse ära ja selle hinda oraakliga manipuleeritakse, et suurendada #WALBT hind. Siin on häkkimise tx näide: https://t.co/YPxXMr2nkf pic.twitter.com/XrzExHY6m1
- PeckShield Inc. (@peckshield) Veebruar 1, 2023
See käivitas WALBT ja BEUR kasutamise. Seejärel vahetas häkker Uniswapis umbes 500,000 113.8 dollari väärtuses BEUR USDC vastu, enne kui põletas kõik XNUMX miljonit WALBT-i, et ALBT avada.
Ahelasisene turvavaatleja "Spreek", kes oli üks esimesi, kes ärakasutamise märkas - ütles tema 18,800 500,000 Twitteri jälgijat, et ekspluateerija viskas hiljem rohkem BEUR ja ALBT märke 144 XNUMX dollari eest USDC-s ja XNUMX ETH ($ 236,000).
PeckShield ja teised märkisid, et BEUR ja ALBT žetoonide hind langes lühikese aja jooksul märkimisväärselt:
Näitleja lahkub seejärel, võttes ebaseadusliku tulu 113.8 miljoniga #WALBT ja 98 miljonit #BEUR (väärtus > 10 miljonit dollarit). Mõned neist märkidest visatakse seejärel maha, mille tulemuseks on suur langus! #WALBT langes >50% ja #BEUR langes 34% pic.twitter.com/HEYxrcaB5Y
- PeckShield Inc. (@peckshield) Veebruar 1, 2023
Järgmises säutsus teatas BonqDAO, et on protokolli peatanud ja töötab taastamislahenduse kallal.
"Muud paigad jäävad puutumata. Bonqi protokoll on peatatud. Töötame lahenduse kallal, mis võimaldab kasutajatel kogu järelejäänud tagatise välja võtta ilma BEUR-i tagasimaksmata. See avaldatakse homme hommikul Kesk-Euroopa aja järgi," öeldi.
AllianceBlock – ALBT märgi väljaandjad – jagas uudist ka 1. veebruaril, selgitades oma 51,300 113.8 Twitteri jälgijale, et ekspluateerijal õnnestus pääseda ligi XNUMX miljonile ALBT märgile.
Meeskond tegeleb Bonqi likviidsuse eemaldamisega ja on peatanud börsil kauplemise, teatas ta, lisades, et AllianceBlockis ei kasutatud ühtegi nutikat lepingut.
TEATAMINE
Hiljuti on Bonqis toimunud intsident, mis hõlmas mitut ALBT Trove'i, kus ründaja pääses ligi 110 miljonile ALBT-le.
Juhtum on nende trooside jaoks isoleeritud. Ühtegi meie nutikat lepingut ei rikutud ega ohustatud. pic.twitter.com/puntkIPK3G
- AllianceBlock (@allianceblock) Veebruar 1, 2023
AllianceBlocki teadaandes lisati ka, et nad vermivad neile uusi ALBT-märke ärakasutamisest mõjutatud kuni väljakuulutamise ajani.
Seotud: Tribe DAO hääletab 80 miljoni dollari suuruse Rari häkkimise ohvrite tagasimaksmise poolt
BonqDAO on a detsentraliseeritud autonoomne organisatsioon mille eesmärk on pakkuda üksikisikutele ja ettevõtetele iseseisvaid finantsteenuseid intressivabalt, loobumata nende varade omandiõigusest.
AllianceBlock on detsentraliseeritud infrastruktuuri platvorm, mis ühendab traditsioonilised finantsasutused Web3 rakendustega.
Allikas: https://cointelegraph.com/news/bonqdao-protocol-suffers-120m-loss-after-oracle-hack