Протокол BonqDAO понес убытки в размере 120 миллионов долларов после взлома оракула

Небольшая децентрализованная автономная организация (DAO) пострадала от довольно крупной уязвимости смарт-контракта, в результате чего из ее протокола было украдено около 120 миллионов долларов.

BonqDAO, стоящая за протоколом Bonq, сообщила своим подписчикам в Твиттере 1 февраля, что его протокол подвергся взлому оракула, который позволил злоумышленнику манипулировать ценой токена AllianceBlock (ALBT).

Независимый анализ, проведенный компанией PeckShield, занимающейся безопасностью блокчейна, оценил потери от взлома Bonq примерно в 120 миллионов долларов, включая 108 миллионов долларов от 98,65 миллионов токенов BEUR и 11 миллионов долларов от 113,8 миллионов токенов WALBT (wALBT).

В то время как эксплойт заработал в нескольких транзакциях, самая крупная из них составила 82,19 миллиона долларов в 18:32 по Гринвичу 1 февраля, по данным многосетевого трекера портфолио DeBank.

Большая часть крупномасштабных транзакций происходила в сети Polygon.

Как это случилось

PeckShield объяснил, что эксплуататор смог изменить функцию updatePrice оракула в одном из смарт-контрактов BonqDAO, что означало, что они могли манипулировать ценой токена wALBT.

Это привело к эксплуатации wALBT и BEUR. Затем хакер обменял BEUR на USDC на сумму около 500 000 долларов на Uniswap, прежде чем сжечь все 113,8 миллиона wALBT, чтобы разблокировать ALBT.

Наблюдатель за безопасностью в сети «Сприк», который был одним из первых, кто обнаружил эксплойт, заявил своим 18 800 подписчикам в Твиттере, что эксплуататор позже сбросил больше токенов BEUR и ALBT на несколько долларов США (500 000 долларов) и 144 ETH (236 000).

PeckShield и другие отметили, что цена токенов BEUR и ALBT значительно снизилась за короткий период времени:

В последующем твите BonqDAO сообщил, что приостановил работу протокола и работает над решением для восстановления.

«Другие сокровища остаются нетронутыми. Протокол Bonq приостановлен. Мы работаем над решением, которое позволит пользователям снимать весь оставшийся залог, не возвращая BEUR в находках. Он будет выпущен завтра утром по центральноевропейскому времени», — говорится в сообщении.

AllianceBlock — эмитенты токенов ALBT — также поделились 1 февраля, объяснив своим 51 300 подписчикам в Твиттере, что злоумышленнику удалось получить доступ к 113,8 миллионам токенов ALBT.

Команда находится в процессе удаления всей ликвидности на Bonq и остановила биржевую торговлю, говорится в сообщении, добавив, что смарт-контракты на AllianceBlock не использовались.

В объявлении AllianceBlock также добавлено, что они будут чеканить новые токены ALBT для тех, кто пострадал от эксплойта, до момента объявления.

Связанный: Tribe DAO голосует за выплату компенсации жертвам взлома Rari на 80 миллионов долларов

Bonq DAO — это децентрализованная автономная организация (DAO), цель которой — предоставлять суверенные финансовые услуги частным лицам и предприятиям без процентов, не отказываясь от права собственности на свои активы.

AllianceBlock — это децентрализованная инфраструктурная платформа, которая соединяет традиционные финансовые учреждения с приложениями Web3.