ضرر ۱۲۰ میلیون دلاری پروتکل BonqDAO پس از هک اوراکل

به گفته Peckshield، هک اوراکل به مهاجمان اجازه داد تا قیمت توکن‌های AllianceBlock را دستکاری کنند، که منجر به ضرر تخمینی ۱۲۰ میلیون دلاری شد.

یک سازمان کوچک مستقل غیرمتمرکز (DAO) در معرض سوء استفاده از قرارداد هوشمند نسبتاً بزرگ قرار گرفت و حدود ۱۲۰ میلیون دلار از پروتکل آن سرقت کرد.

BonqDAO، شرکت سازنده پروتکل Bonq، در تاریخ ۱ فوریه به دنبال کنندگان توییتر خود گفت که پروتکل آن در معرض هک Oracle قرار گرفته است و به سوء استفاده کنندگان اجازه می دهد قیمت توکن های AllianceBlock (ALBT) را دستکاری کنند.

پروتکل Bonq در معرض هک اوراکل قرار گرفت و باعث شد سوء استفاده کنندگان قیمت ALBT را افزایش دهند و مقادیر زیادی BEUR را صادر کنند. سپس BEUR با توکن های دیگر در Uniswap مبادله شد. سپس قیمت به نزدیک صفر کاهش یافت و انحلال ALBT Trove آغاز شد.

—BonqDAO (@BonqDAO) ۱ فوریه ۲۰۲۳

مستقل تحلیل و بررسی شرکت امنیتی بلاک چین PeckShield ضرر ناشی از هک Bonq را حدود ۱۲۰ میلیون دلار تخمین زده است. این شامل ۱۰۸ میلیون دلار از ۹۸.۶۵ میلیون توکن BEUR و ۱۱ میلیون دلار از ۱۱۳.۸ میلیون توکن ALBT (wALBT) است.

به گفته ردیاب پرتفوی چند زنجیره ای DeBank، این اکسپلویت در چندین تراکنش فعال بود، اما بزرگترین آن ۸۲.۱۹ میلیون دلار در ساعت ۶:۳۲ بعد از ظهر به وقت UTC در ۱ فوریه بود.

بیشتر تراکنش های بزرگ در شبکه Polygon انجام شده است.

چگونه این اتفاق افتاد

PeckShield توضیح داد که توانایی سوء استفاده‌کننده برای تغییر تابع updatePrice اوراکل در یکی از قراردادهای هوشمند BonqDAO به این معنی است که آنها می‌توانند قیمت توکن wALBT را دستکاری کنند.

از @Bonk DAO برای دستکاری قیمت اوراکل مورد سوء استفاده قرار می گیرد، #والت قیمت در اینجا یک نمونه هک tx است: https://t.co/YPxXMr2nkf pic.twitter.com/XrzExHY6m1

— PeckShield Inc. (@peckshield) ۱ فوریه ۲۰۲۳

این منجر به بهره برداری از wALBT و BEUR شد. سپس هکرها قبل از سوزاندن تمام ۱۱۳.۸ میلیون wALBT برای باز کردن قفل ALBT، حدود ۵۰۰۰۰۰ دلار BEUR را با USDC در Uniswap مبادله کردند.

On-Chain Security Observer ‘Spreek’ – یکی از اولین کسانی که این اکسپلویت را کشف کرد – گفت این استثمارگر بعداً به ۱۸۸۰۰ دنبال کننده خود در توییتر مقداری USDC (500000 دلار) و ۱۴۴ توکن BEUR و ALBT دیگر را رها کرد. اتریوم (۲۳۶۰۰۰).

PeckShield و دیگران خاطرنشان کردند که قیمت توکن های BEUR و ALBT در مدت زمان کوتاهی به طور قابل توجهی کاهش یافته است.

سپس بازیگر سودهای غیرقانونی به دست آمده را در ۱۱۳.۸ میلیون پس می‌گیرد و می‌رود. #والت و ۹۸ میلیون # BEUR (ارزش بیش از ۱۰ میلیون دلار). برخی از این توکن ها سپس ریخته می شوند و در نتیجه افت زیادی ایجاد می شود! #والت > ۵۰ درصد کاهش و # BEUR کاهش ۳۴ درصدی pic.twitter.com/HEYxrcaB5Y

— PeckShield Inc. (@peckshield) ۱ فوریه ۲۰۲۳

BonqDAO در یک توییت بعدی گفت که این پروتکل را به حالت تعلیق درآورده و در حال کار بر روی یک راه حل بازیابی است.

در این بیانیه آمده است: “سایر گنجینه ها تحت تأثیر قرار نخواهند گرفت. پروتکل Bonq به حالت تعلیق درآمده است. ما در حال کار بر روی راه حلی هستیم که به کاربران امکان می دهد تمام وثیقه های باقی مانده را بدون بازگرداندن BEUR برداشت کنند.”

صادرکننده توکن ALBT، AllianceBlock، نیز در ۱ فوریه به اشتراک گذاشت و به ۵۱۳۰۰ دنبال کننده توییتر خود توضیح داد که سوء استفاده کنندگان با موفقیت به ۱۱۳.۸ میلیون توکن ALBT دسترسی پیدا کرده اند.

این تیم گفت که در حال حذف تمام نقدینگی از Bonq است و معاملات صرافی را به حالت تعلیق درآورده است و افزود که قراردادهای هوشمند هرگز با AllianceBlock سوء استفاده نشده است.

ارائه

یک حادثه اخیر Bonq که شامل چندین ALBT Troves بود به مهاجمان دسترسی به تقریباً ۱۱۰ میلیون ALBT داد.

موارد به این Troves محدود می شود. هیچ یک از قراردادهای هوشمند ما نقض یا به خطر افتاده است. pic.twitter.com/puntkIPK3G

– بلوک اتحاد (@allianceblock) ۱ فوریه ۲۰۲۳

اعلامیه AllianceBlock همچنین برای ایجاد توکن های جدید ALBT برای افرادی که تحت تأثیر سوء استفاده قرار گرفته اند تا زمان اعلام اضافه شده است.

مربوط: Tribe DAO به بازپرداخت ۸۰ میلیون دلار به قربانیان هک Rari رأی داد

BonqDAO یک سازمان غیرمتمرکز خودمختار (DAO) است که هدف آن ارائه خدمات مالی بدون بهره و مستقل به افراد و کسب و کارها بدون انصراف از مالکیت دارایی های آنها است.

AllianceBlock یک پلت فرم زیرساخت توزیع شده است که مؤسسات مالی سنتی را به برنامه های Web3 متصل می کند.

نویسنده: Brayden Lindrea