به گفته Peckshield، هک اوراکل به مهاجمان اجازه داد تا قیمت توکنهای AllianceBlock را دستکاری کنند، که منجر به ضرر تخمینی ۱۲۰ میلیون دلاری شد.
یک سازمان کوچک مستقل غیرمتمرکز (DAO) در معرض سوء استفاده از قرارداد هوشمند نسبتاً بزرگ قرار گرفت و حدود 120 میلیون دلار از پروتکل آن سرقت کرد.
BonqDAO، شرکت سازنده پروتکل Bonq، در تاریخ 1 فوریه به دنبال کنندگان توییتر خود گفت که پروتکل آن در معرض هک Oracle قرار گرفته است و به سوء استفاده کنندگان اجازه می دهد قیمت توکن های AllianceBlock (ALBT) را دستکاری کنند.
پروتکل Bonq در معرض هک اوراکل قرار گرفت و باعث شد سوء استفاده کنندگان قیمت ALBT را افزایش دهند و مقادیر زیادی BEUR را صادر کنند. سپس BEUR با توکن های دیگر در Uniswap مبادله شد. سپس قیمت به نزدیک صفر کاهش یافت و انحلال ALBT Trove آغاز شد.
—BonqDAO (@BonqDAO) 1 فوریه 2023
مستقل تحلیل و بررسی شرکت امنیتی بلاک چین PeckShield ضرر ناشی از هک Bonq را حدود 120 میلیون دلار تخمین زده است. این شامل 108 میلیون دلار از 98.65 میلیون توکن BEUR و 11 میلیون دلار از 113.8 میلیون توکن ALBT (wALBT) است.
به گفته ردیاب پرتفوی چند زنجیره ای DeBank، این اکسپلویت در چندین تراکنش فعال بود، اما بزرگترین آن 82.19 میلیون دلار در ساعت 6:32 بعد از ظهر به وقت UTC در 1 فوریه بود.
بیشتر تراکنش های بزرگ در شبکه Polygon انجام شده است.
چگونه این اتفاق افتاد
PeckShield توضیح داد که توانایی سوء استفادهکننده برای تغییر تابع updatePrice اوراکل در یکی از قراردادهای هوشمند BonqDAO به این معنی است که آنها میتوانند قیمت توکن wALBT را دستکاری کنند.
از @Bonk DAO برای دستکاری قیمت اوراکل مورد سوء استفاده قرار می گیرد، #والت قیمت در اینجا یک نمونه هک tx است: https://t.co/YPxXMr2nkf pic.twitter.com/XrzExHY6m1
— PeckShield Inc. (@peckshield) 1 فوریه 2023
این منجر به بهره برداری از wALBT و BEUR شد. سپس هکرها قبل از سوزاندن تمام 113.8 میلیون wALBT برای باز کردن قفل ALBT، حدود 500000 دلار BEUR را با USDC در Uniswap مبادله کردند.
On-Chain Security Observer ‘Spreek’ – یکی از اولین کسانی که این اکسپلویت را کشف کرد – گفت این استثمارگر بعداً به 18800 دنبال کننده خود در توییتر مقداری USDC (500000 دلار) و 144 توکن BEUR و ALBT دیگر را رها کرد. اتریوم (236000).
PeckShield و دیگران خاطرنشان کردند که قیمت توکن های BEUR و ALBT در مدت زمان کوتاهی به طور قابل توجهی کاهش یافته است.
سپس بازیگر سودهای غیرقانونی به دست آمده را در 113.8 میلیون پس میگیرد و میرود. #والت و 98 میلیون # BEUR (ارزش بیش از 10 میلیون دلار). برخی از این توکن ها سپس ریخته می شوند و در نتیجه افت زیادی ایجاد می شود! #والت > 50 درصد کاهش و # BEUR کاهش 34 درصدی pic.twitter.com/HEYxrcaB5Y
— PeckShield Inc. (@peckshield) 1 فوریه 2023
BonqDAO در یک توییت بعدی گفت که این پروتکل را به حالت تعلیق درآورده و در حال کار بر روی یک راه حل بازیابی است.
در این بیانیه آمده است: “سایر گنجینه ها تحت تأثیر قرار نخواهند گرفت. پروتکل Bonq به حالت تعلیق درآمده است. ما در حال کار بر روی راه حلی هستیم که به کاربران امکان می دهد تمام وثیقه های باقی مانده را بدون بازگرداندن BEUR برداشت کنند.”
صادرکننده توکن ALBT، AllianceBlock، نیز در 1 فوریه به اشتراک گذاشت و به 51300 دنبال کننده توییتر خود توضیح داد که سوء استفاده کنندگان با موفقیت به 113.8 میلیون توکن ALBT دسترسی پیدا کرده اند.
این تیم گفت که در حال حذف تمام نقدینگی از Bonq است و معاملات صرافی را به حالت تعلیق درآورده است و افزود که قراردادهای هوشمند هرگز با AllianceBlock سوء استفاده نشده است.
ارائه
یک حادثه اخیر Bonq که شامل چندین ALBT Troves بود به مهاجمان دسترسی به تقریباً 110 میلیون ALBT داد.
موارد به این Troves محدود می شود. هیچ یک از قراردادهای هوشمند ما نقض یا به خطر افتاده است. pic.twitter.com/puntkIPK3G
– بلوک اتحاد (@allianceblock) 1 فوریه 2023
اعلامیه AllianceBlock همچنین برای ایجاد توکن های جدید ALBT برای افرادی که تحت تأثیر سوء استفاده قرار گرفته اند تا زمان اعلام اضافه شده است.
مربوط: Tribe DAO به بازپرداخت 80 میلیون دلار به قربانیان هک Rari رأی داد
BonqDAO یک سازمان غیرمتمرکز خودمختار (DAO) است که هدف آن ارائه خدمات مالی بدون بهره و مستقل به افراد و کسب و کارها بدون انصراف از مالکیت دارایی های آنها است.
AllianceBlock یک پلت فرم زیرساخت توزیع شده است که مؤسسات مالی سنتی را به برنامه های Web3 متصل می کند.
نویسنده: Brayden Lindrea
