После 2022 года, полного взломов, децентрализованные финансы (DeFi), казалось, не пострадали в январе этого года. По крайней мере, до сегодняшнего дня: протокол BonqDAO на Polygon (MATIC) подвергся оракловой атаке, в результате которой было потеряно 120 миллионов долларов
Атака оракула
В своем сообщении в Twitter протокол BonqDAO объявил, что он стал жертвой оракловой атаки, которая привела к его краху. На момент написания статьи ущерб оценивается примерно в 120 миллионов долларов США.
Протокол Bonq был подвержен оракловому взлому, в ходе которого эксплуататор увеличил цену ALBT и отчеканил большое количество BEUR. Затем BEUR обменивался на другие токены на Uniswap. Затем цена была снижена почти до нуля, что вызвало ликвидацию хранилищ ALBT.
— BonqDAO (@BonqDAO) 1 февраля 2023 года
Давайте определим контекст, чтобы лучше понять эту атаку. BonqDAO — это довольно специфический протокол кредитования. Он позволяет пользователю заблокировать активы в троверах — смарт-контрактах, доступ к которым есть только у него, — и получить обратно стабильные монеты BEUR, обеспеченные долларом.
В частности, хакеру удалось модифицировать и резко повысить цену токена ALBT оракула AllianceBlock, используемого протоколом BonqDAO. Таким образом, он смог использовать протокол для майнинга BEUR, который в итоге обменял на другие токены через Uniswap. Это привело к тому, что ALBT упал до нуля, ликвидировав все позиции trove.
Эксплуатация @BonqDAO и манипулирование его ценовым оракулом для повышения цены WALBT Вот пример взлома тх: https://t.co/YPxXMr2nkf pic.twitter.com/XrzExHY6m1
— PeckShield Inc (@peckshield) February 1, 2023
Этот процесс явно не похож на атаку на Mango Markets в октябре прошлого года, в результате которой было потеряно 114 миллионов долларов.
Что удивительно в данном случае, так это детская простота, с которой хакеру удалось подменить цену токена ALBT в оракуле. Как видно из истории транзакций, он просто изменил одну строчку кода и все.
Украдено $120 млн.
Компания Peckshield, специализирующаяся на безопасности блокчейна, оценила ущерб от атаки примерно в 120 миллионов долларов, включая 98 миллионов долларов в BEUR и 12 миллионов долларов в ALBT. По сообщениям, человек сумел перевести средства из Polygon в Ethereum, которые затем были конвертированы в 1,2 миллиона Ether (ETH) и 500 000 DAI.
На данный момент BonqDAO заявила, что приостановила работу протокола и работает над решением, чтобы оживить и вернуть украденные средства.
Оракул AllianceBlock, который преодолевает разрыв между децентрализованными и традиционными финансами, подтвердил инцидент 1 февраля. Команда сообщила, что хакерам удалось получить доступ примерно к 110 миллионам токенов ALBT. Однако пострадали только токены ALBT, остальные не пострадали.
» Другие трофеи не пострадали. Протокол Bonq был приостановлен. Мы работаем над решением, которое позволит пользователям удалить все оставшиеся залоги без возврата BEURов в тровеях. Оно будет опубликовано завтра утром. «
На данный момент вся деятельность AllianceBlock также приостановлена. Однако платформа заявила, что примет меры для возврата средств пострадавшим, в том числе сделает снимок до атаки и сбросит токены.
«Команды AllianceBlock и Bonq, включая всех пострадавших партнеров, находятся в процессе удаления наличных и прекращения всех транзакций. «
В настоящее время оракул находится в процессе удаления всех денежных средств из Bonq, однако заявляет, что ни один из смарт-контрактов AllianceBlock не пострадал и не был поврежден.