Nach einem Jahr 2022 voller Hacks schien die dezentrale Finanzwirtschaft (DeFi) in diesem Januar ziemlich verschont zu bleiben. Zumindest bis heute: Das BonqDAO-Protokoll auf Polygon (MATIC) wurde einem Orakelangriff ausgesetzt, der zum Verlust von 120 Millionen Dollar führte.
Ein Orakel-Hack
In einem Twitter-Posting gab das BonqDAO-Protokoll bekannt, dass es Opfer eines „Orakel“-Angriffs geworden war, der zu seinem Zusammenbruch geführt hatte. Zum Zeitpunkt des Schreibens wurde der Schaden auf fast 120 Millionen US-Dollar geschätzt.
Bonq-Protokoll war einem Oracle-Hack ausgesetzt, bei dem Ausbeuter den ALBT-Preis erhöhten und große Mengen an BEUR abbauten. Die BEUR wurden dann für andere Token auf Uniswap geswappt. Anschließend wurde der Preis auf nahezu null gesenkt, was die Liquidation der ALBT-Trojaner auslöste.
– BonqDAO (@BonqDAO) February 1, 2023
Stellen wir den Kontext her, um diesen Angriff besser zu verstehen. BonqDAO ist ein recht spezielles Lending-Protokoll. Es ermöglicht einem Nutzer, Vermögenswerte in Troves – Smart-Contracts, auf die nur er selbst Zugriff hat – zu sperren und im Gegenzug den mit dem Dollar gedeckten Stablecoin BEUR zu erhalten.
Konkret gelang es dem Hacker, den Preis des Token ALBT des AllianceBlock-Orakels, das vom BonqDAO-Protokoll verwendet wird, zu verändern und enorm zu erhöhen. So konnte er das Protokoll für mint des BEUR nutzen, das er schließlich über Uniswap gegen andere Token eintauschte. Dies führte dazu, dass der ALBT auf Null fiel und alle Positionen der Troves aufgelöst wurden.
Der @BonqDAO wird ausgenutzt und sein Preisorakel wird manipuliert, um den WALBT Preis zu erhöhen. Hier ist der Beispiel-Hack tx: https://t.co/YPxXMr2nkf pic.twitter.com/XrzExHY6m1
– PeckShield Inc. (@peckshield) Februar 1, 2023
Dieses Vorgehen erinnert natürlich an den Angriff auf Mango Markets im Oktober letzten Jahres, bei dem 114 Millionen Dollar verloren gingen.
Das Erstaunliche an diesem Fall ist die kindliche Einfachheit, mit der der Hacker den Preis des ALBT-Tokens im Orakel manipulieren konnte. Wie Sie am Transaktionsverlauf sehen können, hat er einfach eine Zeile Code geändert und schon war es passiert.
120 Millionen Dollar gestohlen.
Das auf Blockchain spezialisierte Sicherheitsunternehmen Peckshield schätzte den durch den Angriff entstandenen Verlust auf rund 120 Millionen US-Dollar, davon 98 Millionen in BEUR und 12 Millionen in ALBT. Der Person soll es gelungen sein, Geld von Polygon nach Ethereum zu transferieren, das dann in 1,2 Millionen Ether (ETH) und 500.000 DAI umgewandelt wurde.
Bisher hat BonqDAO nach eigenen Angaben das Protokoll pausiert und arbeitet an einer Lösung für den Neustart und die Wiederbeschaffung der gestohlenen Gelder.
Das Orakel AllianceBlock, das eine Brücke zwischen dem dezentralen und dem traditionellen Finanzwesen schlägt, bestätigte den Vorfall am 1. Februar. Das Team teilte mit, dass es den Hackern gelungen sei, sich Zugang zu rund 110 Millionen ALBT-Token zu verschaffen. Allerdings seien nur ALBT-Troves betroffen und die anderen daher intakt.
“ Die anderen Troves sind nicht betroffen. Das Bonq-Protokoll wurde pausiert. Wir arbeiten an einer Lösung, die es Nutzern ermöglicht, alle verbleibenden Sicherheiten zu entfernen, ohne die BEURs in den Troves zurückzuzahlen. Sie wird morgen früh veröffentlicht. „
Zurzeit sind auch alle Aktivitäten von AllianceBlock ausgesetzt. Die Plattform erklärte jedoch, dass sie Maßnahmen ergreifen werde, um die Betroffenen zu entschädigen, unter anderem durch einen Snapshot vor dem Angriff und einen Airdrop von Token.
“ Die Teams von AllianceBlock und Bonq, einschließlich aller betroffenen Partner, sind dabei, das Bargeld zu löschen und alle Transaktionen zu unterbrechen. „
Aktuell ist das Orakel damit beschäftigt, das gesamte Bargeld von Bonq zu entfernen, weist jedoch darauf hin, dass keiner der Smart-Contracts von AllianceBlock betroffen oder beschädigt ist.
