Na een jaar 2022 vol hacks leek decentrale financiën (DeFi) deze januari vrij onaangetast. Tenminste tot vandaag: het BonqDAO-protocol op Polygon (MATIC) kreeg te maken met een orakelaanval waardoor 120 miljoen dollar verloren ging
Een orakel hack
In een Twitter post maakte het BonqDAO protocol bekend dat het slachtoffer was geworden van een oracle attack die leidde tot de ondergang. Op het moment van schrijven wordt de schade geschat op ongeveer $120 miljoen.
Bonq-protocol werd blootgesteld aan een orakelhack, waarbij de exploiter de ALBT-prijs verhoogde en grote hoeveelheden BEUR sloeg. De BEUR werd vervolgens geruild voor andere tokens op Uniswap. Vervolgens werd de prijs verlaagd tot bijna nul, wat de liquidatie van de ALBT-tokers teweegbracht.
– BonqDAO (@BonqDAO) 1 februari 2023
Laten we de context bepalen om deze aanval beter te begrijpen. BonqDAO is een bijzonder leenprotocol. Het stelt een gebruiker in staat om activa vast te zetten in troeven – slimme contracten waartoe alleen hij toegang heeft – en BEUR stablecoin terug te krijgen, die gedekt wordt door de dollar.
Meer bepaald slaagde de hacker erin om de prijs van het ALBT-token van het AllianceBlock orakel dat door het BonqDAO-protocol wordt gebruikt, aan te passen en drastisch te verhogen. Zo kon hij het protocol gebruiken om de BEUR te slaan, die hij uiteindelijk via Uniswap inruilde voor andere tokens. Hierdoor daalde de ALBT naar nul en werden alle troefposities geliquideerd.
De @BonqDAO wordt uitgebuit en zijn prijsorakel wordt gemanipuleerd om de prijs van WALBT te verhogen. Hier is de voorbeeld hack tx: https://t.co/YPxXMr2nkf pic.twitter.com/XrzExHY6m1
– PeckShield Inc (@peckshield) Februari 1, 2023
Dit proces is natuurlijk niet anders dan de aanval op Mango Markets afgelopen oktober, waarbij 114 miljoen dollar verloren ging.
Wat in dit geval verrassend is, is de kinderlijke eenvoud waarmee de hacker kon knoeien met de prijs van het ALBT-token in het orakel. Zoals u kunt zien in de transactiegeschiedenis, veranderde hij simpelweg één regel code en dat was het.
$120 miljoen gestolen.
Blockchain beveiligingsbedrijf Peckshield schatte de verliezen van de aanval op ongeveer $120 miljoen, waaronder $98 miljoen in BEUR en $12 miljoen in ALBT. Het individu slaagde er naar verluidt in om fondsen van Polygon over te dragen naar Ethereum, die vervolgens werden omgezet in 1,2 miljoen Ether (ETH) en 500.000 DAI.
BonqDAO zei dat het voorlopig het protocol heeft gepauzeerd en werkt aan een oplossing om de gestolen fondsen nieuw leven in te blazen en terug te krijgen.
Het AllianceBlock orakel, dat een brug slaat tussen gedecentraliseerde en traditionele financiën, bevestigde het incident op 1 februari. Het team zei dat hackers erin slaagden toegang te krijgen tot ongeveer 110 miljoen ALBT-tokens. Echter, alleen ALBT tokens zijn getroffen, dus de rest is ongedeerd.
” De andere troeven zijn niet getroffen. Het Bonq protocol is gepauzeerd. We werken aan een oplossing waarmee gebruikers alle resterende zekerheden kunnen verwijderen zonder de BEUR’s in de troeven terug te betalen. Deze zal morgenochtend worden gepubliceerd.”
Voorlopig zijn ook alle activiteiten van AllianceBlock opgeschort. Het platform zei echter dat het stappen zou ondernemen om de getroffenen terug te betalen, waaronder het nemen van een momentopname voor de aanval en het droppen van tokens.
“AllianceBlock en Bonq teams, inclusief alle getroffen partners, zijn bezig met het verwijderen van cash en het stopzetten van alle transacties.”
Het orakel is momenteel bezig met het verwijderen van alle cash van Bonq, echter met de mededeling dat geen van AllianceBlock’s smart contracts zijn aangetast of beschadigd.
