Una piccola organizzazione autonoma decentralizzata (DAO) ha subito un exploit di contratto intelligente piuttosto consistente, che ha portato al furto di circa 120 milioni di dollari dal suo protocollo.
BonqDAO ha dichiarato ai suoi follower su Twitter il 1° febbraio che il suo protocollo Bonq è stato esposto a un hack dell'oracolo che ha consentito allo sfruttatore di manipolare il prezzo del token AllianceBlock (ALBT).
Il protocollo Bonq è stato esposto a un hack dell'oracolo, in cui lo sfruttatore ha aumentato il prezzo di ALBT e ha coniato grandi quantità di BEUR. Il BEUR è stato poi scambiato con altri token su Uniswap. Quindi, il prezzo è stato ridotto quasi a zero, il che ha innescato la liquidazione dei fondi ALBT.
— BonqDAO (@BonqDAO) 1 Febbraio 2023
Un indipendente . della società di sicurezza blockchain PeckShield ha stimato che la perdita derivante dall'hack di Bonq sia di circa $ 120 milioni, di cui $ 108 milioni da 98.65 milioni di token BEUR e $ 11 milioni da 113.8 milioni di token Wrapped-ALBT (wALBT).
Sebbene l'exploit abbia avuto effetto su diverse transazioni, la più grande è stata di 82.19 milioni di dollari alle 6:32 UTC del 1 febbraio, secondo al tracker di portafogli multicatena DeBank.
La maggior parte delle transazioni su larga scala ha avuto luogo sulla rete Polygon.
Come è accaduto
PeckShield ha spiegato che lo sfruttatore è stato in grado di modificare la funzione updatePrice dell'oracolo in uno degli smart contract di BonqDAO, il che significava che era in grado di manipolare il prezzo del token wALBT.
I @BonqDAO viene sfruttato e il suo oracolo dei prezzi viene manipolato per aumentare il #WALBT prezzo. Ecco l'esempio hack tx: https://t.co/YPxXMr2nkf pic.twitter.com/XrzExHY6m1
- PeckShield Inc. (@peckshield) 1 Febbraio 2023
Ciò ha innescato lo sfruttamento di wALBT e BEUR. L'hacker ha quindi scambiato circa $ 500,000 di BEUR con USDC su Uniswap prima di bruciare tutti i 113.8 milioni di wALBT per sbloccare ALBT.
L'osservatore di sicurezza on-chain "Spreek" — che è stato uno dei primi a individuare l'exploit — detto suoi 18,800 follower su Twitter che lo sfruttatore ha successivamente scaricato altri token BEUR e ALBT per $ 500,000 in USDC e 144 ETH ($ 236,000).
PeckShield e altri hanno notato che il prezzo dei token BEUR e ALBT è diminuito notevolmente in un breve periodo di tempo:
L'attore poi se ne va ritirando i guadagni illeciti con 113.8 milioni #WALBT e 98 milioni #BEUR (valutato > $ 10 milioni). Alcuni di questi token vengono quindi scaricati, con conseguente calo importante! #WALBT diminuito del >50% e #BEUR sceso del 34% pic.twitter.com/HEYxrcaB5Y
- PeckShield Inc. (@peckshield) 1 Febbraio 2023
In un tweet di follow-up, BonqDAO ha affermato di aver messo in pausa il protocollo e sta lavorando a una soluzione di ripristino.
“Altri tesori rimangono inalterati. Il protocollo Bonq è stato sospeso. Stiamo lavorando a una soluzione che consentirà agli utenti di ritirare tutte le garanzie rimanenti senza rimborsare BEUR in contanti. Sarà rilasciato domani mattina CET", ha affermato.
Anche AllianceBlock, gli emittenti di token di ALBT, ha condiviso la notizia il 1° febbraio, spiegando ai suoi 51,300 follower su Twitter che uno sfruttatore è riuscito ad ottenere l'accesso a 113.8 milioni di token ALBT.
Il team sta rimuovendo tutta la liquidità su Bonq e ha interrotto il trading in borsa, ha affermato, aggiungendo che nessun contratto intelligente è stato sfruttato su AllianceBlock.
ANNUNCIO
C'è stato un recente incidente che ha coinvolto diversi ALBT Troves su Bonq, con l'attaccante che ha ottenuto l'accesso a circa 110 milioni di ALBT.
L'incidente è isolato da questi Troves. Nessuno dei nostri smart contract è stato violato o compromesso. pic.twitter.com/puntkIPK3G
- AllianceBlock (@allianceblock) 1 Febbraio 2023
L'annuncio di AllianceBlock ha anche aggiunto che avrebbero coniato nuovi token ALBT a quelli colpiti dall'exploit fino al momento dell'annuncio.
Correlato: Tribe DAO vota a favore del rimborso delle vittime dell'hack Rari da 80 milioni di dollari
BonqDAO è un organizzazione autonoma decentralizzata che mira a fornire servizi finanziari autonomi a privati e imprese senza interessi senza rinunciare alla proprietà dei propri beni.
AllianceBlock è una piattaforma infrastrutturale decentralizzata che collega gli istituti finanziari tradizionali alle applicazioni Web3.
Fonte: https://cointelegraph.com/news/bonqdao-protocol-suffers-120m-loss-after-oracle-hack