Eine kleine dezentralisierte autonome Organisation (DAO) hat einen ziemlich beträchtlichen Smart-Contract-Exploit erlitten, der dazu führte, dass schätzungsweise 120 Millionen US-Dollar aus ihrem Protokoll gestohlen wurden.
BonqDAO, das hinter dem Bonq-Protokoll steht, teilte seinen Twitter-Followern am 1. Februar mit, dass sein Protokoll einem Orakel-Hack ausgesetzt war, der es dem Exploiter ermöglichte, den Preis des AllianceBlock (ALBT)-Tokens zu manipulieren.
Das Bonq-Protokoll war einem Orakel-Hack ausgesetzt, bei dem der Exploiter den ALBT-Preis erhöhte und große Mengen an BEUR prägte. Die BEUR wurden dann auf Uniswap gegen andere Token getauscht. Dann wurde der Preis auf fast null gesenkt, was die Liquidation von ALBT-Funden auslöste.
— BonqDAO (@BonqDAO) 1. Februar 2023
Ein Unabhängiger Analyse von der Blockchain-Sicherheitsfirma PeckShield hat den Verlust durch den Bonq-Hack auf rund 120 Millionen US-Dollar geschätzt, davon 108 Millionen US-Dollar aus 98,65 Millionen BEUR-Token und 11 Millionen US-Dollar aus 113,8 Millionen Wrapped-ALBT (wALBT)-Token.
Während der Exploit über mehrere Transaktionen wirksam wurde, betrug der größte am 1. Februar um 18:32 Uhr UTC-Zeit 82,19 Millionen US-Dollar. gemäß zum Multi-Chain-Portfolio-Tracker DeBank.
Die meisten groß angelegten Transaktionen fanden im Polygon-Netzwerk statt.
Wie es passiert ist
PeckShield erklärte, dass der Exploiter die UpdatePrice-Funktion des Orakels in einem der Smart Contracts von BonqDAO ändern konnte, was bedeutete, dass er den Preis des wALBT-Tokens manipulieren konnte.
Die @BonqDAO ausgenutzt und sein Preisorakel manipuliert wird, um den Preis zu erhöhen #WALBT Preis. Hier ist der Beispiel-Hack-TX: https://t.co/YPxXMr2nkf pic.twitter.com/XrzExHY6m1
– PeckShield Inc. (@peckshield) 1. Februar 2023
Dies löste die Ausbeutung von wALBT und BEUR aus. Der Hacker tauschte dann BEUR im Wert von etwa 500.000 USD gegen USDC auf Uniswap, bevor er alle 113,8 Millionen wALBT verbrannte, um ALBT freizuschalten.
On-Chain-Sicherheitsbeobachter „Spreek“ – der als einer der ersten den Exploit entdeckte – angegeben seinen 18.800 Twitter-Followern, dass der Exploiter später weitere BEUR- und ALBT-Token für einige USDC (500.000 $) und 144 ausgegeben hat ETH (236.000).
PeckShield und andere stellten fest, dass der Preis der BEUR- und ALBT-Token in kurzer Zeit erheblich gesunken ist:
Der Schauspieler geht dann weg, indem er die illegalen Gewinne mit 113,8 Millionen abhebt #WALBT und 98M #BEUR (im Wert von >10 Mio. USD). Einige dieser Token werden dann abgelegt, was zu einem großen Rückgang führt! #WALBT sank um >50% und #BEUR um 34 % gesunken pic.twitter.com/HEYxrcaB5Y
– PeckShield Inc. (@peckshield) 1. Februar 2023
In einem Follow-up-Tweet sagte BonqDAO, es habe das Protokoll angehalten und arbeite an einer Wiederherstellungslösung.
„Andere Funde bleiben unberührt. Das Bonq-Protokoll wurde angehalten. Wir arbeiten an einer Lösung, die es Benutzern ermöglicht, alle verbleibenden Sicherheiten abzuheben, ohne BEUR in den Fundgruben zurückzuzahlen. Es wird morgen früh MEZ veröffentlicht“, hieß es.
AllianceBlock – die Token-Emittenten von ALBT – teilten ebenfalls am 1. Februar mit und erklärten ihren 51.300 Twitter-Followern, dass es einem Exploiter gelungen sei, Zugang zu 113,8 Millionen ALBT-Token zu erhalten.
Das Team ist dabei, die gesamte Liquidität auf Bonq zu entfernen und hat den Börsenhandel eingestellt, hieß es und fügte hinzu, dass auf AllianceBlock keine Smart Contracts ausgenutzt wurden.
BEKANNTMACHUNG
Es gab kürzlich einen Vorfall mit mehreren ALBT-Trophäen auf Bonq, bei dem der Angreifer Zugriff auf etwa 110 Millionen ALBT erhielt.
Der Vorfall ist auf diese Troves beschränkt. Keiner unserer Smart Contracts wurde verletzt oder kompromittiert. pic.twitter.com/puntkIPK3G
— AllianceBlock (@allianceblock) 1. Februar 2023
Die Ankündigung von AllianceBlock fügte hinzu, dass sie bis zum Zeitpunkt der Ankündigung neue ALBT-Token für diejenigen prägen würden, die von dem Exploit betroffen sind.
Verwandt: Tribe DAO stimmt für die Rückzahlung der Opfer des Rari-Hacks im Wert von 80 Millionen US-Dollar
BonqDAO ist eine dezentralisierte autonome Organisation (DAO), deren Ziel es ist, Einzelpersonen und Unternehmen zinsfrei selbstverwaltete Finanzdienstleistungen anzubieten, ohne das Eigentum an ihren Vermögenswerten aufzugeben.
AllianceBlock ist eine dezentrale Infrastrukturplattform, die herkömmliche Finanzinstitute mit Web3-Anwendungen verbindet.