Dopo un anno 2022 pieno di hack, la finanza decentralizzata (DeFi) è sembrata piuttosto indenne questo gennaio. Almeno fino ad oggi: il protocollo BonqDAO su Polygon (MATIC) ha subito un attacco oracolo che ha causato la perdita di 120 milioni di dollari
Un attacco oracolo
In un post su Twitter, il protocollo BonqDAO ha annunciato di essere stato vittima di un attacco oracolo che ne ha causato il collasso. Al momento in cui scriviamo, il danno è stimato in circa 120 milioni di dollari.
Il protocollo Bonq è stato esposto a un attacco oracolo, in cui l’exploiter ha aumentato il prezzo dell’ALBT e ha coniato grandi quantità di BEUR. I BEUR sono stati poi scambiati con altri token su Uniswap. In seguito, il prezzo è sceso quasi a zero, innescando la liquidazione dei fondi ALBT.
– BonqDAO (@BonqDAO) 1 febbraio 2023
Vediamo di inquadrare il contesto per comprendere meglio questo attacco. BonqDAO è un protocollo di prestito piuttosto particolare. Consente agli utenti di bloccare i beni in trove – contratti intelligenti a cui possono accedere solo loro – e di ottenere in cambio la stablecoin BEUR, che è sostenuta dal dollaro.
In particolare, l’hacker è riuscito a modificare e ad aumentare drasticamente il prezzo del token ALBT dell’oracolo AllianceBlock utilizzato dal protocollo BonqDAO. In questo modo è stato in grado di utilizzare il protocollo per coniare il BEUR, che ha poi scambiato con altri token tramite Uniswap. Questo ha fatto sì che l’ALBT scendesse a zero, liquidando tutte le posizioni del trove.
L’@BonqDAO viene sfruttato e il suo oracolo dei prezzi viene manipolato per aumentare il prezzo di WALBT Ecco un esempio di hack tx: https://t.co/YPxXMr2nkf pic.twitter.com/XrzExHY6m1
– PeckShield Inc (@peckshield) February 1, 2023
Questo processo non è ovviamente dissimile dall’attacco a Mango Markets dello scorso ottobre, che ha portato alla perdita di 114 milioni di dollari.
Ciò che sorprende in questo caso è la semplicità infantile con cui l’hacker è riuscito a manomettere il prezzo del token ALBT nell’oracolo. Come si può vedere dalla cronologia delle transazioni, ha semplicemente modificato una riga di codice e il gioco è fatto.
120 milioni di dollari rubati
L’azienda di sicurezza Blockchain Peckshield ha stimato le perdite dell’attacco in circa 120 milioni di dollari, di cui 98 milioni in BEUR e 12 milioni in ALBT. L’individuo sarebbe riuscito a trasferire i fondi da Polygon a Ethereum, che sono stati poi convertiti in 1,2 milioni di Ether (ETH) e 500.000 DAI.
Per il momento, BonqDAO ha dichiarato di aver messo in pausa il protocollo e di stare lavorando a una soluzione per riattivare e recuperare i fondi rubati.
L’oracolo AllianceBlock, che colma il divario tra finanza decentralizzata e tradizionale, ha confermato l’incidente il 1° febbraio. Il team ha dichiarato che gli hacker sono riusciti ad accedere a circa 110 milioni di token ALBT. Tuttavia, solo i token ALBT sono stati colpiti, quindi gli altri sono illesi.
” Gli altri trofei non sono stati colpiti. Il protocollo Bonq è stato messo in pausa. Stiamo lavorando a una soluzione che consentirà agli utenti di rimuovere tutte le garanzie residue senza rimborsare i BEUR presenti nei trofei. Verrà pubblicata domani mattina. “
Per il momento, anche tutte le attività di AllianceBlock sono sospese. Tuttavia, la piattaforma ha dichiarato che adotterà misure per rimborsare le persone colpite, tra cui l’acquisizione di un’istantanea prima dell’attacco e il lancio di token in aria.
“I team di AllianceBlock e Bonq, compresi tutti i partner colpiti, stanno rimuovendo i contanti e interrompendo tutte le transazioni. “
Al momento, l’oracolo è in procinto di rimuovere tutti i contanti da Bonq, affermando però che nessuno degli smart contract di AllianceBlock è interessato o danneggiato.
