یک سازمان خودمختار غیرمتمرکز در مقیاس کوچک (DAO) از سوء استفاده قرارداد هوشمند نسبتاً قابل توجهی متحمل شده است که منجر به سرقت تخمینی 120 میلیون دلار از پروتکل آن شده است.
BonqDAO که پشت پروتکل Bonq است، در 1 فوریه به دنبال کنندگان توییتر خود گفت که پروتکل آن در معرض هک اوراکل قرار گرفته است که به بهرهبردار اجازه میدهد قیمت توکن AllianceBlock (ALBT) را دستکاری کند.
پروتکل Bonq در معرض هک اوراکل قرار گرفت، جایی که بهرهبردار قیمت ALBT را افزایش داد و مقادیر زیادی BEUR را استخراج کرد. سپس BEUR با توکن های دیگر در Uniswap مبادله شد. سپس قیمت تقریباً به صفر کاهش یافت که باعث انحلال انبارهای ALBT شد.
— BonqDAO (@BonqDAO) 1 فوریه 2023
یک مستقل تحلیل و بررسی از سوی شرکت امنیتی بلاک چین PeckShield زیان ناشی از هک Bonq را حدود 120 میلیون دلار تخمین زده است که شامل 108 میلیون دلار از 98.65 میلیون توکن BEUR و 11 میلیون دلار از 113.8 میلیون توکن پیچیده ALBT (wALBT) است.
در حالی که این اکسپلویت در چندین تراکنش اعمال شد، بزرگترین آن 82.19 میلیون دلار در ساعت 18:32 به وقت UTC در 1 فوریه بود. با توجه به ردیاب پرتفوی چند زنجیره ای DeBank.
بیشتر تراکنش های با مقیاس بالا در شبکه Polygon انجام می شد.
چگونه اتفاق افتاد
PeckShield توضیح داد که بهرهبردار قادر است تابع updatePrice اوراکل را در یکی از قراردادهای هوشمند BonqDAO تغییر دهد که به این معنی است که آنها میتوانند قیمت توکن wALBT را دستکاری کنند.
این @BonqDAO مورد سوء استفاده قرار می گیرد و اوراکل قیمت آن برای افزایش قیمت دستکاری می شود #WALBT قیمت در اینجا مثال هک tx است: https://t.co/YPxXMr2nkf pic.twitter.com/XrzExHY6m1
— PeckShield Inc. (@peckshield) 1 فوریه 2023
این باعث بهره برداری از wALBT و BEUR شد. سپس هکر حدود 500000 دلار BEUR را با USDC در Uniswap عوض کرد و سپس تمام 113.8 میلیون wALBT را سوزاند تا قفل ALBT را باز کند.
ناظر امنیتی زنجیره ای “Spreek” – که یکی از اولین کسانی بود که این سوء استفاده را شناسایی کرد – اظهار داشت به 18800 دنبالکنندهاش در توییتر که استثمارگر بعداً توکنهای BEUR و ALBT بیشتری را برای مقداری USDC (500000 دلار) و 144 تخلیه کرد. ETH (236000).
PeckShield و دیگران خاطرنشان کردند که قیمت توکن های BEUR و ALBT در مدت زمان کوتاهی به میزان قابل توجهی کاهش یافت:
سپس بازیگر با برداشتن سودهای غیرقانونی با 113.8 میلیون دور می شود #WALBT و 98 میلیون # BEUR (به ارزش بیش از 10 میلیون دلار). برخی از این توکنها سپس ریخته میشوند که منجر به افت شدید میشود! #WALBT بیش از 50 درصد کاهش یافت و # BEUR 34 درصد کاهش یافت pic.twitter.com/HEYxrcaB5Y
— PeckShield Inc. (@peckshield) 1 فوریه 2023
در یک توییت بعدی، BonqDAO گفت که پروتکل را متوقف کرده و در حال کار بر روی یک راه حل بازیابی است.
«سایر عناوین بیتأثیر باقی میمانند. پروتکل Bonq متوقف شده است. ما در حال کار بر روی راه حلی هستیم که به کاربران امکان می دهد تمام وثیقه های باقی مانده را بدون بازپرداخت BEUR در انبارها برداشت کنند. فردا صبح CET منتشر خواهد شد.»
AllianceBlock – صادرکنندگان توکن ALBT – نیز در 1 فوریه به اشتراک گذاشت و به 51300 دنبال کننده خود در توییتر توضیح داد که یک سوء استفاده کننده توانسته به 113.8 میلیون توکن ALBT دسترسی پیدا کند.
این تیم در حال حذف تمام نقدینگی در Bonq است و معاملات صرافی را متوقف کرده است، و افزود که هیچ قرارداد هوشمندی در AllianceBlock مورد سوء استفاده قرار نگرفته است.
اعلان
اخیراً یک حادثه شامل چندین ALBT Troves در Bonq رخ داده است که مهاجم به حدود 110M ALBT دسترسی پیدا کرده است.
این حادثه به این ترووها جدا شده است. هیچ یک از قراردادهای هوشمند ما نقض یا به خطر افتاد. pic.twitter.com/puntkIPK3G
– AllianceBlock (@allianceblock) 1 فوریه 2023
اعلامیه AllianceBlock همچنین اضافه کرد که آنها توکن های جدید ALBT را برای آن ها ضرب خواهند کرد تحت تاثیر سوء استفاده قرار گرفته است تا زمان اعلام
مربوط: Tribe DAO به بازپرداخت قربانیان هک Rari 80 میلیون دلاری رای می دهد
BonqDAO یک است سازمان غیرمتمرکز خودمختار (DAO) که هدف آن ارائه خدمات مالی مستقل بدون بهره به افراد و مشاغل بدون انصراف از مالکیت دارایی های آنهاست.
AllianceBlock یک پلت فرم زیرساخت غیرمتمرکز است که مؤسسات مالی سنتی را به برنامه های Web3 متصل می کند.
