Una organización autónoma descentralizada (DAO, por sus siglas en inglés) a pequeña escala ha sufrido un exploit de contrato inteligente bastante considerable que ha provocado el robo de aproximadamente 120 millones de dólares de su protocolo.
BonqDAO, que está detrás del protocolo Bonq, les dijo a sus seguidores de Twitter el 1 de febrero que su protocolo estaba expuesto a un hackeo de Oracle que permitió al explotador manipular el precio del token AllianceBlock (ALBT).
El protocolo Bonq estuvo expuesto a un pirateo de Oracle, donde el explotador aumentó el precio de ALBT y acuñó grandes cantidades de BEUR. Luego, el BEUR se cambió por otros tokens en Uniswap. Luego, el precio se redujo a casi cero, lo que desencadenó la liquidación de los tesoros de ALBT.
— BonqDAO (@BonqDAO) 1 de febrero de 2023
Un independiente análisis de la firma de seguridad blockchain PeckShield ha estimado que la pérdida del hack Bonq es de alrededor de $120 millones, que comprende $108 millones de 98,65 millones de tokens BEUR y $11 millones de 113,8 millones de tokens ALBT envueltos (wALBT).
Si bien el exploit tuvo efecto en varias transacciones, la mayor fue de 82,19 millones de dólares a las 6:32 p. m., hora UTC, del 1 de febrero, según el rastreador de carteras multicadena DeBank.
La mayoría de las transacciones a gran escala se realizaron en la red Polygon.
Cómo pasó
PeckShield explicó que el explotador pudo cambiar la función updatePrice del oráculo en uno de los contratos inteligentes de BonqDAO, lo que significaba que podían manipular el precio del token wALBT.
Él @BonqDAO se explota y se manipula su oráculo de precios para aumentar la #WALBT precio. Aquí está el ejemplo de hack tx: https://t.co/YPxXMr2nkf pic.twitter.com/XrzExHY6m1
— PeckShield Inc. (@peckshield) 1 de febrero de 2023
Esto desencadenó la explotación de wALBT y BEUR. Luego, el pirata informático intercambió alrededor de $ 500,000 en BEUR por USDC en Uniswap antes de quemar los 113.8 millones de wALBT para desbloquear ALBT.
El observador de seguridad en cadena “Spreek”, que fue uno de los primeros en detectar el exploit, fijado a sus 18.800 seguidores de Twitter que el explotador luego descargó más tokens BEUR y ALBT por algunos USDC ($500.000) y 144 ETH (236.000).
PeckShield y otros notaron que el precio de los tokens BEUR y ALBT bajó considerablemente en un corto período de tiempo:
El actor luego se aleja retirando las ganancias ilícitas con 113.8M #WALBT y 98M #BEUR (valorado >$10M). ¡Algunos de estos tokens luego se descargan, lo que resulta en una gran caída! #WALBT se redujo en >50% y #BEUR cayó un 34% pic.twitter.com/HEYxrcaB5Y
— PeckShield Inc. (@peckshield) 1 de febrero de 2023
En un tweet de seguimiento, BonqDAO dijo que detuvo el protocolo y está trabajando en una solución de recuperación.
“Otros tesoros no se ven afectados. El protocolo Bonq ha sido pausado. Estamos trabajando en una solución que permitirá a los usuarios retirar todas las garantías restantes sin reembolsar BEUR en los tesoros. Será lanzado mañana por la mañana CET”, dijo.
AllianceBlock, los emisores de tokens de ALBT, también compartieron la noticia el 1 de febrero y explicaron a sus 51 300 seguidores de Twitter que un explotador logró obtener acceso a 113,8 millones de tokens ALBT.
El equipo está en proceso de eliminar toda la liquidez en Bonq y ha detenido el comercio de intercambio, dijo, y agregó que no se explotaron contratos inteligentes en AllianceBlock.
ANUNCIO
Ha habido un incidente reciente que involucró varios ALBT Troves en Bonq, y el atacante obtuvo acceso a alrededor de 110 millones de ALBT.
El incidente está aislado de estos Troves. Ninguno de nuestros contratos inteligentes fue violado o comprometido. pic.twitter.com/puntkIPK3G
– AllianceBlock (@allianceblock) 1 de febrero de 2023
El anuncio de AllianceBlock también agregó que acuñarían nuevos tokens ALBT para aquellos afectados por el exploit hasta el momento del anuncio.
Relacionado: La tribu DAO vota a favor de reembolsar a las víctimas del hack Rari de $80 millones
BonqDAO es una organización autónoma descentralizada (DAO) que tiene como objetivo proporcionar servicios financieros autónomos a personas y empresas sin intereses y sin renunciar a la propiedad de sus activos.
AllianceBlock es una plataforma de infraestructura descentralizada que conecta instituciones financieras tradicionales con aplicaciones Web3.