Po roce 2022 plném hackerských útoků se zdálo, že decentralizované finance (DeFi) zůstaly letos v lednu spíše nedotčeny. Alespoň až do dnešního dne: protokol BonqDAO na platformě Polygon (MATIC) se stal obětí útoku orákula, v jehož důsledku přišel o 120 milionů dolarů
Útok na Oracle
V příspěvku na Twitteru protokol BonqDAO oznámil, že se stal obětí útoku orákula, který vedl k jeho zhroucení. V době psaní tohoto článku se škody odhadují na přibližně 120 milionů dolarů.
Protokol Bonq byl vystaven útoku orákula, při němž zneuživatel zvýšil cenu ALBT a vyrazil velké množství BEUR. BEUR byl poté vyměněn za jiné tokeny na platformě Uniswap. Poté byla cena snížena téměř na nulu, což vyvolalo likvidaci ALBT trovů.
– BonqDAO (@BonqDAO) 1. února 2023
Uveďme si souvislosti, abychom tento útok lépe pochopili. BonqDAO je poměrně specifický výpůjční protokol. Umožňuje uživateli uzamknout aktiva do trosek – chytrých kontraktů, ke kterým má přístup pouze on – a získat zpět stablecoin BEUR, který je krytý dolarem.
Konkrétně se hackerovi podařilo upravit a dramaticky zvýšit cenu tokenu ALBT věštírny AllianceBlock, kterou protokol BonqDAO používá. Tímto způsobem se mu podařilo protokol využít k ražbě BEUR, které nakonec prostřednictvím Uniswapu vyměnil za jiné tokeny. To způsobilo, že ALBT klesl na nulu, čímž došlo k likvidaci všech pozic v trove.
Zneužití @BonqDAO a manipulace s jeho cenovým orákulem ke zvýšení ceny WALBT Zde je příklad hackerského tx: https://t.co/YPxXMr2nkf pic.twitter.com/XrzExHY6m1
– PeckShield Inc (@peckshield) 1. února 2023
Tento proces se zjevně neliší od útoku na Mango Markets v říjnu loňského roku, který vedl ke ztrátě 114 milionů dolarů.
Co je v tomto případě překvapivé, je dětinská jednoduchost, s jakou byl hacker schopen manipulovat s cenou tokenu ALBT ve věštírně. Jak je vidět z historie transakcí, jednoduše změnil jeden řádek kódu a to bylo vše.
Ukradeno 120 milionů dolarů.
Firma Peckshield, která se zabývá bezpečností blockchainu, odhadla ztráty způsobené útokem na přibližně 120 milionů dolarů, z toho 98 milionů dolarů v BEUR a 12 milionů dolarů v ALBT. Dotyčnému se údajně podařilo převést finanční prostředky z Polygonu na Ethereum, které byly následně převedeny na 1,2 milionu Etherů (ETH) a 500 000 DAI.
Společnost BonqDAO prozatím uvedla, že pozastavila protokol a pracuje na řešení, jak ukradené prostředky oživit a získat zpět.
Oracle AllianceBlock, který překlenuje propast mezi decentralizovanými a tradičními financemi, incident potvrdil 1. února. Tým uvedl, že se hackerům podařilo získat přístup k přibližně 110 milionům tokenů ALBT. Postiženy jsou však pouze tokeny ALBT, takže zbytek je nepoškozen.
“ Ostatní tokeny postiženy nejsou. Provoz protokolu Bonq byl pozastaven. Pracujeme na řešení, které uživatelům umožní odstranit všechny zbývající zástavy, aniž by museli vracet BEUR v trovech. Bude zveřejněno zítra ráno.“
Prozatím jsou také pozastaveny všechny aktivity AllianceBlock. Platforma však uvedla, že podnikne kroky k vrácení peněz postiženým, včetně pořízení snímku před útokem a vypuštění tokenů.
„Týmy AllianceBlock a Bonq, včetně všech postižených partnerů, právě odstraňují hotovost a zastavují všechny transakce. „
V současné době je věštírna v procesu odstraňování veškeré hotovosti z Bonq, nicméně uvádí, že žádný z inteligentních kontraktů AllianceBlock není ovlivněn ani poškozen.