Después de un año 2022 repleto de hackeos, las finanzas descentralizadas (DeFi) parecían no haberse visto afectadas este mes de enero. Al menos hasta hoy: el protocolo BonqDAO de Polygon (MATIC) ha sufrido un ataque de oráculo que ha provocado la pérdida de 120 millones de dólares
Un ataque al oráculo
En una publicación en Twitter, el protocolo BonqDAO anunció que había sido víctima de un ataque de oráculo que provocó su colapso. En el momento de escribir estas líneas, los daños se estiman en unos 120 millones de dólares.
El protocolo Bonq se vio expuesto a un ataque de oráculo, en el que el explotador aumentó el precio del ALBT y acuñó grandes cantidades de BEUR. A continuación, los BEUR se intercambiaron por otros tokens en Uniswap. Luego, el precio se redujo a casi cero, lo que desencadenó la liquidación de los trofeos ALBT.
– BonqDAO (@BonqDAO) 1 de febrero de 2023
Pongámonos en contexto para entender mejor este ataque. BonqDAO es un protocolo de préstamo bastante particular. Permite a un usuario bloquear activos en troves -contratos inteligentes a los que sólo él puede acceder- y obtener de vuelta BEUR stablecoin, que está respaldada por el dólar.
En concreto, el hacker consiguió modificar y aumentar drásticamente el precio del token ALBT del oráculo AllianceBlock utilizado por el protocolo BonqDAO. Así, pudo utilizar el protocolo para acuñar el BEUR, que finalmente intercambió por otros tokens a través de Uniswap. Esto provocó que el ALBT cayera a cero, liquidando todas las posiciones del trove.
Se explota el @BonqDAO y se manipula su oráculo de precios para aumentar el precio del WALBT Este es el ejemplo de hack tx: https://t.co/YPxXMr2nkf pic.twitter.com/XrzExHY6m1
– PeckShield Inc (@peckshield) 1 de febrero de 2023
Obviamente, este proceso no es muy distinto del ataque a Mango Markets el pasado octubre, que se saldó con la pérdida de 114 millones de dólares.
Lo sorprendente en este caso es la sencillez infantil con la que el hacker fue capaz de manipular el precio del token ALBT en el oráculo. Como se puede ver en el historial de transacciones, simplemente cambió una línea de código y ya está.
120 millones de dólares robados
La firma de seguridad Blockchain Peckshield estimó las pérdidas del ataque en unos 120 millones de dólares, incluidos 98 millones en BEUR y 12 millones en ALBT. Según los informes, el individuo logró transferir fondos de Polygon a Ethereum, que luego se convirtieron en 1,2 millones de Ether (ETH) y 500.000 DAI.
Por el momento, BonqDAO ha declarado que ha puesto en pausa el protocolo y está trabajando en una solución para reactivar y recuperar los fondos robados.
El oráculo AllianceBlock, que tiende un puente entre las finanzas descentralizadas y las tradicionales, confirmó el incidente el 1 de febrero. El equipo dijo que los piratas informáticos consiguieron acceder a unos 110 millones de tokens ALBT. Sin embargo, sólo están afectados los tokens ALBT, por lo que el resto está ileso.
» Los demás trofeos no se han visto afectados. El protocolo Bonq se ha puesto en pausa. Estamos trabajando en una solución que permitirá a los usuarios eliminar todas las garantías restantes sin devolver los BEUR de los troves. Se publicará mañana por la mañana. «
Por el momento, todas las actividades de AllianceBlock también están suspendidas. Sin embargo, la plataforma dijo que tomaría medidas para reembolsar a los afectados, incluyendo la toma de una instantánea antes del ataque y el lanzamiento aéreo de tokens.
«Los equipos de AllianceBlock y Bonq, incluidos todos los socios afectados, están en proceso de retirar efectivo y detener todas las transacciones. «
Actualmente, el oráculo está en proceso de retirar todo el efectivo de Bonq, sin embargo, afirma que ninguno de los contratos inteligentes de AllianceBlock está afectado o dañado.
