След годината 2022, изпълнена с хакове, децентрализираните финанси (DeFi) изглеждаха по-скоро незасегнати през януари. Поне до днес: протоколът BonqDAO на Polygon (MATIC) претърпя оракулска атака, в резултат на която бяха загубени 120 млн. долара
Оракулска хакерска атака
В публикация в Twitter протоколът BonqDAO обяви, че е станал жертва на оракулска атака, която е довела до неговия срив. Към момента на писане на статията щетите се оценяват на около 120 млн. долара.
Протоколът Bonq беше изложен на оракулска хакерска атака, при която експлоатиращият увеличи цената на ALBT и изкопа големи количества BEUR. След това BEUR е бил обменян за други токени в Uniswap. След това цената беше намалена почти до нула, което предизвика ликвидиране на ALBT трезори.
– BonqDAO (@BonqDAO) 1 февруари 2023 г.
Нека създадем контекст, за да разберем по-добре тази атака. BonqDAO е доста специфичен протокол за отпускане на заеми. Той позволява на потребителя да блокира активи в трюмове – интелигентни договори, до които само той има достъп – и да получи обратно стабилни монети BEUR, които са обезпечени с долара.
По-конкретно, хакерът е успял да модифицира и драстично да увеличи цената на токена ALBT на оракула AllianceBlock, използван от протокола BonqDAO. По този начин той е успял да използва протокола, за да изкопае BEUR, който в крайна сметка е обменил за други токени чрез Uniswap. Това доведе до падане на ALBT до нула, ликвидирайки всички позиции в трофея.
Използван е @BonqDAO и ценовият му оракул е манипулиран, за да се увеличи цената на WALBT Ето примерния хакерски такс: https://t.co/YPxXMr2nkf pic.twitter.com/XrzExHY6m1
– PeckShield Inc (@peckshield) February 1, 2023
Този процес очевидно не е по-различен от атаката срещу Mango Markets през октомври миналата година, в резултат на която бяха загубени 114 млн. долара.
Това, което е изненадващо в този случай, е детинската простота, с която хакерът е успял да подмени цената на ALBT токена в оракула. Както можете да видите от историята на транзакциите, той просто е променил един ред код и това е всичко.
Откраднати 120 милиона долара
Фирмата за блокчейн сигурност Peckshield оцени загубите от атаката на около 120 млн. долара, включително 98 млн. долара в BEUR и 12 млн. долара в ALBT. Съобщава се, че физическото лице е успяло да прехвърли средства от Polygon в Ethereum, които след това са били превърнати в 1,2 милиона Ether (ETH) и 500 000 DAI.
За момента BonqDAO заяви, че е спряла протокола и работи по решение за съживяване и възстановяване на откраднатите средства.
Оракулът AllianceBlock, който преодолява пропастта между децентрализираните и традиционните финанси, потвърди инцидента на 1 февруари. Екипът заяви, че хакерите са успели да получат достъп до около 110 млн. токена ALBT. Засегнати са обаче само ALBT токените, така че останалите са невредими.
“ Останалите токени не са засегнати. Протоколът Bonq е спрян. Работим по решение, което ще позволи на потребителите да премахнат всички останали обезпечения, без да връщат BEUR в трюмовете. То ще бъде публикувано утре сутринта.“
Засега са спрени и всички дейности на AllianceBlock. Платформата обаче заяви, че ще предприеме стъпки за възстановяване на средствата на засегнатите, включително правене на снимка преди атаката и пускане на токени по въздуха.
„Екипите на AllianceBlock и Bonq, включително всички засегнати партньори, са в процес на премахване на паричните средства и спиране на всички транзакции. „
Понастоящем оракулът е в процес на премахване на всички парични средства от Bonq, като обаче заявява, че нито един от интелигентните договори на AllianceBlock не е засегнат или повреден.
