به گفته Peckshield، یک هک اوراکل به بهرهبردار اجازه داد تا قیمت توکن AllianceBlock را دستکاری کند که منجر به زیان 120 میلیون دلاری شد.
یک سازمان کوچک غیرمتمرکز خودمختار (DAO) با سوء استفاده از قرارداد هوشمند قابل توجهی مواجه شده است که منجر به سرقت تخمینی 120 میلیون دلار از پروتکل آن شد.
BonqDAO، پشت پروتکل Bonq، در 1 فوریه به دنبال کنندگان توییتر گفت که پروتکل آن در معرض یک حمله پیشگویانه است که به بهرهبردار اجازه میدهد قیمت توکن AllianceBlock (ALBT) را دستکاری کند.
پروتکل Bonq در معرض یک حمله پیشگویی قرار گرفت، جایی که استثمارگر قیمت ALBT را افزایش داد و مقادیر زیادی BEUR را چاپ کرد. BEUR بعداً با توکن های دیگری در Uniswap جایگزین شد. متعاقباً قیمت تقریباً به صفر کاهش یافت که باعث انحلال گنجینه های ALBT شد.
— BonqDAO (@BonqDAO) 1 فوریه 2023
مستقل تحلیل و بررسی شرکت امنیتی بلاک چین PeckShield زیان ناشی از هک Bonq را حدود 120 میلیون دلار تخمین زده است. این ضرر شامل 108 میلیون دلار از 98.65 میلیون توکن BEUR و 11 میلیون دلار از 113.8 میلیون توکن ALBT (wALBT) بسته بندی شده است.
به گفته ردیاب سبد چند زنجیره ای DeBank، این اکسپلویت چندین تراکنش را تحت تاثیر قرار داد که بزرگترین آن 82.19 میلیون دلار در ساعت 18:32 UTC در فوریه بود.
بیشتر تراکنش های با مقیاس بالا در شبکه Polygon انجام می شد.
چطور بود
PeckShield توضیح داد که بهرهبردار قادر است تابع updatePrice اوراکل را در یکی از قراردادهای هوشمند BonqDAO تغییر دهد که میتواند قیمت توکن wALBT را دستکاری کند.
این @BonqDAO مورد بهره برداری قرار گرفت و پیش بینی قیمت برای افزایش دستکاری شد. #WALBT قیمت در اینجا نمونه هک tx است: https://t.co/YPxXMr2nkf pic.twitter.com/XrzExHY6m1
– شرکت PeckShield (@peckshield) 1 فوریه 2023
این باعث بهره برداری از wALBT و BEUR شد. سپس هکر حدود 500000 دلار BEUR را در Uniswap با USDC معامله کرد و سپس تمام 113.8 میلیون wALBT را سوزاند تا قفل ALBT را باز کند.
ناظر امنیتی زنجیره ای “Spreek” که یکی از اولین کسانی بود که متوجه این سوء استفاده شد – اظهار داشت او به ۱۸۸۰۰ دنبالکنندهاش در توییتر گفت که بهرهبردار بعداً مقداری USDC (۵۰۰،۰۰۰ دلار) و توکنهای BEUR و ALBT بیشتری را به قیمت ۱۴۴ فروخت. ETH (236000).
PeckShield و دیگران خاطرنشان کردند که قیمت توکن های BEUR و ALBT در مدت زمان کوتاهی به طور قابل توجهی کاهش یافت:
سپس بازیکن با 113.8 میلیون دور می رود و هر گونه برد غیرقانونی را پس می گیرد. #WALBT و 98 میلیون # BEUR (قیمت بیش از 10 میلیون دلار). برخی از این توکنها سپس در سطل زباله ریخته میشوند که منجر به افت شدید میشود! #WALBT > 50 درصد کاهش یافت و # BEUR 34 درصد کاهش یافت pic.twitter.com/HEYxrcaB5Y
– شرکت PeckShield (@peckshield) 1 فوریه 2023
در یک توییت بعدی، BonqDAO گفت که پروتکل را متوقف کرده و روی یک راه حل بازیابی کار می کند.
«سایر گنجینه ها تحت تأثیر قرار نگرفتند. پروتکل Bonq متوقف شد. ما روی راه حلی کار می کنیم که به کاربران امکان می دهد تمام سپرده های باقی مانده را بدون بازپرداخت BEUR برداشت کنند. CET فردا صبح منتشر می شود.
ارائه دهندگان توکن ALBT، AllianceBlock، نیز این خبر را به اشتراک گذاشت و اعلام کرد که یک سوء استفاده کننده توانسته است به 113.8 میلیون توکن ALBT به 51300 دنبال کننده توییتر در 1 فوریه دسترسی پیدا کند.
این تیم در حال حذف تمام نقدینگی از Bonq است و تجارت در صرافی را متوقف کرده است و اضافه میکند که از هیچ قرارداد هوشمندی در AllianceBlock استفاده نمیکند.
اعلان
اخیراً یک حادثه شامل چندین ALBT Troves در Bonq رخ داده است که مهاجم به تقریباً 110M ALBT دسترسی پیدا کرده است.
این رویداد به این Troves جدا شده است. هیچ یک از قراردادهای هوشمند ما نقض یا به خطر افتاده است. pic.twitter.com/puntkIPK3G
– AllianceBlock (@allianceblock) 1 فوریه 2023
اعلامیه AllianceBlock همچنین اضافه کرد که آنها توکنهای جدید ALBT را برای کسانی که تحت تأثیر آسیبپذیری قرار گرفتهاند تا لحظه اعلام منتشر خواهند کرد.
مربوط: Tribe DAO به بازپرداخت 80 میلیون دلار قربانیان هک Rari رأی مثبت می دهد
BonqDAO یک سازمان مستقل غیرمتمرکز (DAO) است که هدف آن ارائه خدمات مالی خودکفا بدون بهره به افراد و مشاغل بدون انصراف از مالکیت دارایی های آنها است.
AllianceBlock یک پلت فرم زیرساخت غیرمتمرکز است که مؤسسات مالی سنتی را به برنامه های Web3 متصل می کند.
نویسنده: Brayden Lindrea
