یک سازمان کوچک غیرمتمرکز خودمختار (DAO) از سوء استفاده قرارداد هوشمند نسبتاً قابل توجهی متحمل شده است که منجر به سرقت تخمینی 120 میلیون دلار از پروتکل آن شده است.
BonqDAO در 1 فوریه به دنبال کنندگان توییتر خود گفت که پروتکل Bonq آن در معرض هک اوراکل قرار گرفته است که به بهره بردار اجازه می دهد قیمت توکن AllianceBlock (ALBT) را دستکاری کند.
پروتکل Bonq در معرض هک اوراکل قرار گرفت، جایی که بهرهبردار قیمت ALBT را افزایش داد و مقادیر زیادی BEUR را استخراج کرد. سپس BEUR با توکن های دیگر در Uniswap مبادله شد. سپس قیمت تقریباً به صفر کاهش یافت که باعث انحلال انبارهای ALBT شد.
— BonqDAO (@BonqDAO) فوریه 1، 2023
یک مستقل تحلیل از سوی شرکت امنیتی بلاک چین PeckShield زیان ناشی از هک Bonq را حدود 120 میلیون دلار تخمین زده است که شامل 108 میلیون دلار از 98.65 میلیون توکن BEUR و 11 میلیون دلار از 113.8 میلیون توکن پیچیده ALBT (wALBT) است.
در حالی که این اکسپلویت در چندین تراکنش اعمال شد، بزرگترین آن 82.19 میلیون دلار در ساعت 6:32 بعد از ظهر به وقت UTC در 1 فوریه بود. مطابق به ردیاب پرتفوی چند زنجیره ای DeBank.
بیشتر تراکنش های با مقیاس بالا در شبکه Polygon انجام می شد.
چگونه اتفاق افتاد
PeckShield توضیح داد که بهرهبردار توانسته است تابع updatePrice اوراکل را در یکی از قراردادهای هوشمند BonqDAO تغییر دهد، که به این معنی است که آنها میتوانند قیمت توکن wALBT را دستکاری کنند.
La @BonqDAO مورد سوء استفاده قرار می گیرد و اوراکل قیمت آن برای افزایش قیمت دستکاری می شود #WALBT قیمت در اینجا مثال هک tx است: https://t.co/YPxXMr2nkf pic.twitter.com/XrzExHY6m1
- شرکت PeckShield (peckshield) فوریه 1، 2023
این باعث بهره برداری از wALBT و BEUR شد. سپس هکر حدود 500,000 دلار BEUR را با USDC در Uniswap عوض کرد و سپس تمام 113.8 میلیون wALBT را سوزاند تا قفل ALBT را باز کند.
ناظر امنیتی زنجیره ای "Spreek" - که یکی از اولین کسانی بود که این سوء استفاده را شناسایی کرد - گفته شده 18,800 دنبال کننده او در توییتر که استثمارگر بعدا توکن های BEUR و ALBT بیشتری را به قیمت 500,000 دلار در USDC و 144 تخلیه کرد. ETH ($ 236,000).
PeckShield و دیگران خاطرنشان کردند که قیمت توکن های BEUR و ALBT در مدت زمان کوتاهی به میزان قابل توجهی کاهش یافت:
سپس بازیگر با برداشتن سودهای غیرقانونی با 113.8 میلیون دور می شود #WALBT و 98 میلیون # BEUR (به ارزش بیش از 10 میلیون دلار). برخی از این توکنها سپس ریخته میشوند که منجر به افت شدید میشود! #WALBT بیش از 50 درصد کاهش یافت و # BEUR کاهش 34٪ pic.twitter.com/HEYxrcaB5Y
- شرکت PeckShield (peckshield) فوریه 1، 2023
در یک توییت بعدی، BonqDAO گفت که پروتکل را متوقف کرده و در حال کار بر روی یک راه حل بازیابی است.
«سایر عناوین بیتأثیر باقی میمانند. پروتکل Bonq متوقف شده است. ما در حال کار بر روی راه حلی هستیم که به کاربران امکان می دهد تمام وثیقه های باقی مانده را بدون بازپرداخت BEUR در انبارها برداشت کنند. فردا صبح CET منتشر خواهد شد.»
AllianceBlock - صادرکنندگان توکن ALBT - نیز این خبر را در 1 فوریه به اشتراک گذاشت و به 51,300 دنبال کننده توییتر خود توضیح داد که یک سوء استفاده کننده توانسته به 113.8 میلیون توکن ALBT دسترسی پیدا کند.
این تیم در حال حذف تمام نقدینگی در Bonq است و معاملات صرافی را متوقف کرده است، و افزود که هیچ قرارداد هوشمندی در AllianceBlock مورد سوء استفاده قرار نگرفته است.
اطلاعیه
اخیراً یک حادثه شامل چندین ALBT Troves در Bonq رخ داده است که مهاجم به حدود 110M ALBT دسترسی پیدا کرده است.
این حادثه به این ترووها جدا شده است. هیچ یک از قراردادهای هوشمند ما نقض یا به خطر افتاد. pic.twitter.com/puntkIPK3G
- AllianceBlock (@allianceblock) فوریه 1، 2023
اعلامیه AllianceBlock همچنین اضافه کرد که آنها توکن های جدید ALBT را برای آن ها ضرب خواهند کرد تحت تأثیر سوء استفاده قرار گرفته است تا زمان اعلام
مرتبط: Tribe DAO به بازپرداخت قربانیان هک Rari 80 میلیون دلاری رای می دهد
BonqDAO یک است سازمان مستقل غیر متمرکز که هدف آن ارائه خدمات مالی مستقل بدون بهره به افراد و مشاغل بدون انصراف از مالکیت دارایی های آنها است.
AllianceBlock یک پلت فرم زیرساخت غیرمتمرکز است که مؤسسات مالی سنتی را به برنامه های Web3 متصل می کند.
منبع: https://cointelegraph.com/news/bonqdao-protocol-suffers-120m-loss-after-oracle-hack