Po roku 2022 pełnym hacków, zdecentralizowane finanse (DeFi) wydawały się w tym styczniu raczej nietknięte. Przynajmniej do dzisiaj: protokół BonqDAO na Polygonie (MATIC) padł ofiarą ataku oracle, w wyniku którego utracono 120 milionów dolarów
An oracle hack
We wpisie na Twitterze protokół BonqDAO poinformował, że padł ofiarą ataku oracle, który doprowadził do jego upadku. W chwili pisania tego tekstu szkody szacowane są na około 120 milionów dolarów.
Protokół Bonq został narażony na oracle hack, w którym exploit zwiększył cenę ALBT i wybił duże ilości BEUR. BEUR był następnie wymieniany na inne tokeny na Uniswap. Następnie cena została obniżona do prawie zera, co wywołało likwidację trofeów ALBT.
– BonqDAO (@BonqDAO) February 1, 2023
Ustalmy kontekst, aby lepiej zrozumieć ten atak. BonqDAO to dość specyficzny protokół pożyczkowy. Pozwala użytkownikowi zablokować aktywa w trofeach – inteligentnych kontraktach, do których tylko on ma dostęp – i otrzymać z powrotem stablecoin BEUR, który jest wspierany przez dolara.
Konkretnie, hakerowi udało się zmodyfikować i drastycznie zwiększyć cenę tokena ALBT wyroczni AllianceBlock wykorzystywanej przez protokół BonqDAO. W ten sposób był w stanie wykorzystać protokół do wybicia BEUR, które ostatecznie wymienił na inne tokeny za pośrednictwem Uniswap. Spowodowało to spadek ALBT do zera, likwidując wszystkie pozycje trove.
Wykorzystano @BonqDAO i zmanipulowano jego wyrocznię cenową, aby zwiększyć cenę WALBT Oto przykładowy hack tx: https://t.co/YPxXMr2nkf pic.twitter.com/XrzExHY6m1
– PeckShield Inc (@peckshield) February 1, 2023
Proces ten nie różni się oczywiście od ataku na Mango Markets w październiku ubiegłego roku, w wyniku którego straciliśmy 114 milionów dolarów.
W tym przypadku zaskakująca jest dziecinna prostota, z jaką haker był w stanie manipulować ceną tokena ALBT w wyroczni. Jak widać z historii transakcji, po prostu zmienił jedną linijkę kodu i to było wszystko.
Skradziono 120 milionów dolarów
Firma Peckshield zajmująca się bezpieczeństwem blockchain oszacowała straty z ataku na około 120 milionów dolarów, w tym 98 milionów dolarów w BEUR i 12 milionów dolarów w ALBT. Osoba fizyczna podobno zdołała przelać środki z Polygonu na Ethereum, które następnie zostały zamienione na 1,2 miliona Etheru (ETH) i 500 000 DAI.
Na razie BonqDAO powiedział, że wstrzymał protokół i pracuje nad rozwiązaniem, aby ożywić i odzyskać skradzione fundusze.
Wyrocznia AllianceBlock, która wypełnia lukę między zdecentralizowanymi i tradycyjnymi finansami, potwierdziła incydent 1 lutego. Zespół powiedział, że hakerzy zdołali uzyskać dostęp do około 110 milionów tokenów ALBT. Jednak tylko tokeny ALBT zostały dotknięte, więc reszta jest niezagrożona.
” Pozostałe troleje nie zostały dotknięte. Protokół Bonq został wstrzymany. Pracujemy nad rozwiązaniem, które pozwoli użytkownikom na usunięcie wszystkich pozostałych zabezpieczeń bez konieczności spłacania BEURów w trofeach. Zostanie ono opublikowane jutro rano. „
Na razie zawieszona jest również cała działalność AllianceBlock. Platforma powiedziała jednak, że podejmie kroki w celu zwrotu pieniędzy osobom poszkodowanym, w tym wykona snapshot przed atakiem i zrzuci tokeny.
„Zespoły AllianceBlock i Bonq, w tym wszyscy dotknięci partnerzy, są w trakcie usuwania gotówki i wstrzymywania wszystkich transakcji. „
Oracle jest obecnie w trakcie usuwania całej gotówki z Bonq, stwierdzając jednak, że żaden z inteligentnych kontraktów AllianceBlock nie jest dotknięty lub uszkodzony.