Ang isang maliit na desentralisadong autonomous na organisasyon (DAO) ay dumanas ng medyo malaking pagsasamantala sa smart contract, na humahantong sa tinatayang $120 milyon na ninakaw mula sa protocol nito.
Sinabi ng BonqDAO sa mga tagasunod nito sa Twitter noong Peb. 1 na ang Bonq protocol nito ay nalantad sa isang oracle hack na nagpapahintulot sa mapagsamantalang manipulahin ang presyo ng AllianceBlock (ALBT) token.
Nalantad ang Bonq protocol sa isang oracle hack, kung saan pinataas ng mapagsamantala ang presyo ng ALBT at gumawa ng malalaking halaga ng BEUR. Pagkatapos ay pinalitan ang BEUR para sa iba pang mga token sa Uniswap. Pagkatapos, ang presyo ay nabawasan sa halos zero, na nag-trigger ng pagpuksa ng ALBT troves.
— BonqDAO (@BonqDAO) Pebrero 1, 2023
Isang independyente pagsusuri mula sa blockchain security firm na PeckShield ay tinantiya na ang pagkawala mula sa Bonq hack ay humigit-kumulang $120 milyon, na binubuo ng $108 milyon mula sa 98.65 milyon BEUR token at $11 milyon mula sa 113.8 milyon na nakabalot-ALBT (wALBT) na mga token.
Habang nagkabisa ang pagsasamantala sa ilang transaksyon, ang pinakamalaki ay $82.19 milyon noong 6:32 pm UTC time noong Peb. 1, ayon sa sa multichain portfolio tracker DeBank.
Karamihan sa mga high-scale na transaksyon ay naganap sa Polygon network.
Paano ito nangyari
Ipinaliwanag ng PeckShield na nagawang baguhin ng mapagsamantala ang updatePrice function ng oracle sa isa sa mga smart contract ng BonqDAO, na nangangahulugang nagawa nilang manipulahin ang presyo ng wALBT token.
Ang @BonqDAO ay pinagsamantalahan at ang price oracle nito ay minamanipula para tumaas ang #WALBT presyo. Narito ang halimbawa ng hack tx: https://t.co/YPxXMr2nkf pic.twitter.com/XrzExHY6m1
- PeckShield Inc. (@peckshield) Pebrero 1, 2023
Nag-trigger ito ng pagsasamantala sa wALBT at BEUR. Pagkatapos ay pinalitan ng hacker ang humigit-kumulang $500,000 na halaga ng BEUR para sa USDC sa Uniswap bago sinunog ang lahat ng 113.8 milyong wALBT upang i-unlock ang ALBT.
On-chain security observer na si “Spreek” — na isa sa mga unang nakakita ng pagsasamantala — Sinabi ang kanyang 18,800 na tagasunod sa Twitter na sa kalaunan ay itinapon ng mapagsamantala ang higit pang BEUR at ALBT token sa halagang $500,000 sa USDC at 144 ETH ($ 236,000).
Napansin ng PeckShield at ng iba pa na ang presyo ng mga token ng BEUR at ALBT ay bumaba nang malaki sa maikling panahon:
Pagkatapos ay lumayo ang aktor sa pamamagitan ng pag-withdraw ng mga ipinagbabawal na nakuha na may 113.8M #WALBT at 98M #BEUR (na nagkakahalaga ng >$10M). Ang ilan sa mga token na ito ay itatapon, na nagreresulta sa malaking pagbaba! #WALBT bumaba ng >50% at #BEUR ay bumaba sa pamamagitan 34% pic.twitter.com/HEYxrcaB5Y
- PeckShield Inc. (@peckshield) Pebrero 1, 2023
Sa isang follow up na tweet, sinabi ni BonqDAO na na-pause nito ang protocol at gumagawa ng solusyon sa pagbawi.
"Ang ibang mga troves ay nananatiling hindi apektado. Ang Bonq protocol ay na-pause. Gumagawa kami ng solusyon na magbibigay-daan sa mga user na bawiin ang lahat ng natitirang collateral nang hindi binabayaran ang BEUR sa troves. Ipapalabas ito bukas ng umaga CET,” sabi nito.
Ang AllianceBlock — ang mga nagbigay ng token ng ALBT — ay nagbahagi rin ng balita noong Peb. 1, na nagpapaliwanag sa 51,300 tagasunod nito sa Twitter na ang isang mapagsamantala ay nakakuha ng access sa 113.8 milyong ALBT token.
Ang koponan ay nasa proseso ng pag-alis ng lahat ng pagkatubig sa Bonq at itinigil ang pangangalakal ng palitan, sinabi nito, at idinagdag na walang mga matalinong kontrata ang pinagsamantalahan sa AllianceBlock.
Anunsyo
Nagkaroon ng kamakailang insidente na kinasasangkutan ng ilang ALBT Troves sa Bonq, kung saan ang umaatake ay nakakuha ng access sa humigit-kumulang 110M ALBT.
Ang insidente ay isolated sa mga Troves na ito. Wala sa aming mga matalinong kontrata ang nilabag o nakompromiso. pic.twitter.com/puntkIPK3G
— AllianceBlock (@allianceblock) Pebrero 1, 2023
Ang anunsyo mula sa AllianceBlock ay idinagdag din na sila ay gagawa ng mga bagong ALBT token sa mga iyon naapektuhan ng pagsasamantala hanggang sa oras ng anunsyo.
Nauugnay: Ang Tribe DAO ay bumoto pabor sa pagbabayad sa mga biktima ng $80M Rari hack
Ang BonqDAO ay isang desentralisadong awtonomiyang organisasyon na naglalayong magbigay ng self-sovereign na serbisyong pinansyal sa mga indibidwal at negosyong walang interes nang hindi ibinibigay ang pagmamay-ari ng kanilang mga ari-arian.
Ang AllianceBlock ay isang desentralisadong platform ng imprastraktura na nag-uugnay sa mga tradisyonal na institusyong pampinansyal sa mga aplikasyon ng Web3.
Pinagmulan: https://cointelegraph.com/news/bonqdao-protocol-suffers-120m-loss-after-oracle-hack