Uma pequena organização autônoma descentralizada (DAO) sofreu uma exploração de contrato inteligente bastante considerável, levando a um roubo estimado de US$ 120 milhões de seu protocolo.
O BonqDAO disse a seus seguidores no Twitter em 1º de fevereiro que seu protocolo Bonq foi exposto a um hack oracle que permitiu ao explorador manipular o preço do token AllianceBlock (ALBT).
O protocolo Bonq foi exposto a um hack do oráculo, onde o explorador aumentou o preço do ALBT e cunhou grandes quantidades de BEUR. O BEUR foi então trocado por outros tokens no Uniswap. Em seguida, o preço caiu para quase zero, o que desencadeou a liquidação dos tesouros ALBT.
-BonqDAO (@BonqDAO) 1 de fevereiro de 2023
Um independente análise da empresa de segurança blockchain PeckShield estimou a perda do hack Bonq em cerca de US$ 120 milhões, compreendendo US$ 108 milhões de 98.65 milhões de tokens BEUR e US$ 11 milhões de 113.8 milhões de tokens ALBT (wALBT).
Embora a exploração tenha surtido efeito em várias transações, a maior foi de US$ 82.19 milhões às 6h32, horário UTC, em 1º de fevereiro. segundo ao rastreador de portfólio multicadeia DeBank.
A maioria das transações de grande escala ocorreu na rede Polygon.
Como isso aconteceu
PeckShield explicou que o explorador conseguiu alterar a função updatePrice do oracle em um dos contratos inteligentes do BonqDAO, o que significa que eles conseguiram manipular o preço do token wALBT.
A @BonqDAO é explorado e seu oráculo de preços é manipulado para aumentar o #WALBT preço. Aqui está o exemplo hack tx: https://t.co/YPxXMr2nkf pic.twitter.com/XrzExHY6m1
- PeckShield Inc. (@peckshield) 1 de fevereiro de 2023
Isso desencadeou a exploração do wALBT e do BEUR. O hacker então trocou cerca de $ 500,000 em BEUR por USDC no Uniswap antes de queimar todos os 113.8 milhões wALBT para desbloquear o ALBT.
O observador de segurança on-chain “Spreek” – que foi um dos primeiros a detectar o exploit – disse seus 18,800 seguidores no Twitter que o explorador posteriormente despejou mais tokens BEUR e ALBT por $ 500,000 em USDC e 144 ETH ($ 236,000).
PeckShield e outros observaram que o preço dos tokens BEUR e ALBT caiu consideravelmente em um curto período de tempo:
O ator então se afasta retirando os ganhos ilícitos com 113.8 milhões #WALBT e 98 milhões #BEUR (avaliado > $ 10 milhões). Alguns desses tokens são descartados, resultando em uma grande queda! #WALBT caiu > 50% e #BEUR caiu por 34% pic.twitter.com/HEYxrcaB5Y
- PeckShield Inc. (@peckshield) 1 de fevereiro de 2023
Em um tweet de acompanhamento, BonqDAO disse que pausou o protocolo e está trabalhando em uma solução de recuperação.
“Outros tesouros permanecem inalterados. O protocolo Bonq foi pausado. Estamos trabalhando em uma solução que permitirá aos usuários retirar todas as garantias restantes sem reembolsar BEUR em tesouros. Será lançado amanhã de manhã CET ”, disse.
A AllianceBlock - os emissores de tokens da ALBT - também compartilhou a notícia em 1º de fevereiro, explicando aos seus 51,300 seguidores no Twitter que um explorador conseguiu obter acesso a 113.8 milhões de tokens ALBT.
A equipe está no processo de remover toda a liquidez do Bonq e interrompeu a negociação em bolsa, disse, acrescentando que nenhum contrato inteligente foi explorado no AllianceBlock.
ANÚNCIO
Houve um incidente recente envolvendo vários ALBT Troves no Bonq, com o invasor obtendo acesso a cerca de 110 milhões de ALBT.
O incidente é isolado a estes Troves. Nenhum de nossos contratos inteligentes foi violado ou comprometido. pic.twitter.com/puntkIPK3G
- AllianceBlock (@allianceblock) 1 de fevereiro de 2023
O anúncio da AllianceBlock também acrescentou que eles cunhariam novos tokens ALBT para aqueles impactado pelo exploit até o momento do anúncio.
Relacionado: Tribe DAO vota a favor de reembolsar vítimas de hack de US $ 80 milhões em Rari
BonqDAO é um organização autônoma descentralizada que visa fornecer serviços financeiros auto-soberanos a indivíduos e empresas sem juros, sem abrir mão da propriedade de seus ativos.
AllianceBlock é uma plataforma de infraestrutura descentralizada que conecta instituições financeiras tradicionais a aplicativos Web3.
Fonte: https://cointelegraph.com/news/bonqdao-protocol-suffers-120m-loss-after-oracle-hack