一个小型去中心化自治组织 (DAO) 遭遇了规模相当大的智能合约漏洞,导致其协议中估计有 120 亿美元被盗。
BonqDAO 于 1 月 XNUMX 日告诉其 Twitter 粉丝,其 Bonq 协议遭到了甲骨文黑客攻击,使得攻击者能够操纵 AllianceBlock (ALBT) 代币的价格。
Bonq 协议遭到 oracle 黑客攻击,利用者提高了 ALBT 价格并铸造了大量 BEUR。 然后在 Uniswap 上将 BEUR 换成其他代币。 然后,价格下降到几乎为零,这引发了 ALBT 宝库的清算。
— BonqDAO (@BonqDAO) 2023 年 2 月 1 日
一个独立的 分析 区块链安全公司 PeckShield 估计 Bonq 黑客攻击造成的损失约为 120 亿美元,其中 108 万个 BEUR 代币造成 98.65 亿美元损失,11 亿个包装 ALBT (wALBT) 代币造成 113.8 万美元损失。
虽然该漏洞在多笔交易中生效,但最大一笔交易在 82.19 月 6 日世界标准时间下午 32:1 达到 XNUMX 万美元, 根据 多链投资组合追踪器 DeBank。
大多数大规模交易都发生在 Polygon 网络上。
怎么回事
PeckShield 解释说,利用者能够更改 BonqDAO 智能合约之一中预言机的 updatePrice 函数,这意味着他们能够操纵 wALBT 代币的价格。
@BonqDAO 被利用,其价格预言机被操纵以增加 #沃尔比特 价格。 这是示例 hack tx: https://t.co/YPxXMr2nkf pic.twitter.com/XrzExHY6m1
- PeckShield Inc.(@peckshield) 2023 年 2 月 1 日
这触发了对 wALBT 和 BEUR 的利用。 然后,黑客在 Uniswap 上将价值约 500,000 美元的 BEUR 换成 USDC,然后销毁所有 113.8 亿个 wALBT 以解锁 ALBT。
链上安全观察员“Spreek”——他是最早发现该漏洞的人之一—— 告诉 他的 18,800 名 Twitter 粉丝称,该利用者后来以 500,000 美元的 USDC 和 144 的价格抛售了更多 BEUR 和 ALBT 代币 ETH ($ 236,000)。
PeckShield 和其他人指出,BEUR 和 ALBT 代币的价格在短时间内大幅下跌:
然后,该演员通过提取 113.8 亿美元的非法收益而走开 #沃尔比特 和98M #BEUR (价值 > 10 万美元)。 然后丢弃其中一些代币,导致大幅下跌! #沃尔比特 下降 >50% 并且 #BEUR 下降了 34% pic.twitter.com/HEYxrcaB5Y
- PeckShield Inc.(@peckshield) 2023 年 2 月 1 日
在后续推文中,BonqDAO 表示已暂停协议并正在研究恢复解决方案。
“其他宝藏不受影响。 Bonq 协议已暂停。 我们正在研究一种解决方案,允许用户提取所有剩余抵押品而无需偿还宝库中的 BEUR。 它将于明天早上 CET 发布,”它说。
AllianceBlock——ALBT 的代币发行者——也在 1 月 51,300 日分享了这一消息,向其 113.8 名 Twitter 关注者解释说,一个利用者设法获得了 XNUMX 亿个 ALBT 代币。
该团队正在消除 Bonq 上的所有流动性,并已停止交易所交易,并补充说 AllianceBlock 上没有利用任何智能合约。
公告
最近发生了一起事件,涉及 Bonq 上的多个 ALBT Troves,攻击者获得了大约 110M ALBT 的访问权限。
该事件与这些 Troves 是孤立的。 我们的智能合约都没有被违反或泄露。 pic.twitter.com/puntkIPK3G
-AllianceBlock(@allianceblock) 2023 年 2 月 1 日
AllianceBlock 的公告还补充说,他们将为这些人铸造新的 ALBT 代币。 受漏洞影响 截至公告发布之时。
相关新闻: Tribe DAO 投票支持偿还 80 万美元 Rari 黑客攻击的受害者
BonqDAO 是一个 分散的自治组织 其目的是在不放弃资产所有权的情况下,向个人和企业提供无息自主主权金融服务。
AllianceBlock 是一个去中心化的基础设施平台,将传统金融机构连接到 Web3 应用程序。
来源:https://cointelegraph.com/news/bonqdao-protocol-suffers-120m-loss-after-oracle-hack