Atakujący wykorzystał wyrocznię BonqDAO i był w stanie manipulować ceną tokenów AllianceBlock.
BonqDAO został wykorzystany poprzez oracle hack, który doprowadził do kradzieży 110 milionów dolarów w kryptowalutach z protokołu.
W trakcie exploitu atakującemu udało się zmanipulować cenę tokenów wrappowanych AllianceBlock (wALBT) i uciekło 100 milionów wALBT o wartości ponad 10 milionów USD.
Co się stało?
Analiza przeprowadzona przez firmę PeckShield, zajmującą się bezpieczeństwem blockchain, wykazała, że exploit zmienił funkcję updatePrice wyroczni w jednym z inteligentnych kontraktów BonqDAO. To umożliwiło manipulację ceną tokenów wALBT.
Dzięki podwyższonej cenie wALBT, eksplorator mógł wybić ponad 100 milionów tokenów BEUR o wartości ponad 100 milionów USD. BEUR jest stablecoinem protokołu BonqDAO.
W kolejnych transakcjach eksploit wymienił na Uniswap tokeny BEUR o wartości 500.000 USD na USDC i dalej manipulował ceną wALBT. Doprowadziło to do likwidacji kilku 33 sztuk ALBT.
Po zakończeniu exploitu hakerowi udało się zdobyć 113,8 milionów tokenów wALBT i 98 milionów BEUR. W wyniku tego wartość tokenów wALBT spadła o 51%, a BEUR stracił 34% swojej wartości.
Informując o ataku, BonqDAO ujawnił, że inne fundusze nie zostały naruszone. Protokół został wstrzymany, a jego operatorzy aktywnie pracują nad rozwiązaniem, które umożliwi użytkownikom wycofanie pozostałych zabezpieczeń bez konieczności wymiany BEUR w skarbcu.
AllianceBlock pomaga poszkodowanym użytkownikom
Z kolei AllianceBlock poinformował swoich użytkowników, że incydent dotyczy tylko skarbca i nie ma wpływu na żaden z jego inteligentnych kontraktów. Zdecentralizowana platforma infrastrukturalna ujawniła, że handel ALBT na wszystkich giełdach został wstrzymany i jest w trakcie usuwania płynności.
“Zespoły AllianceBlock i Bonq, wraz ze wszystkimi powiązanymi partnerami, są obecnie w trakcie usuwania płynności i wstrzymują wszystkie transakcje giełdowe. W międzyczasie wstrzymaliśmy wszelką aktywność na AllianceBlock Bridge” – powiedział AllianceBlock.
W międzyczasie AllianceBlock planuje wykonać zrzuty sald użytkowników przed exploitem, wybić nowe tokeny ALBT i przekazać je ofiarom.