BonqDAO bị đánh cắp 120 triệu USD bởi một vụ hack oracle

Một vụ hack oracle đã giúp kẻ tấn công thao túng giá token AllianceBlock (ALBT), dẫn đến thiệt hại ước tính khoảng 120 triệu USD trên BonqDAO, theo Peckshield.

Rạng sáng ngày 02/02, các giao thức BonqDAO và AllianceBlock đã bị tấn công smart contract, gây ra thiệt hại khá lớn. 

Bonq protocol was exposed to an oracle hack, where exploiter increased the ALBT price and minted large amounts of BEUR. The BEUR was then swapped for other tokens on Uniswap. Then, the price was decreased to almost zero, which triggered the liquidation of ALBT troves.

— BonqDAO (@BonqDAO) February 1, 2023

Một phân tích độc lập từ PeckShield đã ước tính thiệt hại vụ hack là khoảng 120 triệu USD, bao gồm 108 triệu USD (98 triệu BEUR) và 11 triệu USD (113,8 triệu wALBT).

The estimated loss of @BonqDAO hack is ~$120M: 98M $BEUR (was priced $1.1 -> $108M) and 113.8M $WALBT (was priced -> $0.1 at $11M). Now the $BEUR price is dropped by >30% and $WALBT dropped by >50%! https://t.co/z8XyBLgRxr

— PeckShield Inc. (@peckshield) February 1, 2023

PeckShield giải thích rằng kẻ tấn công đã thay đổi chức năng updatePrice của oracle trong một smart contract của BonqDAO, từ đó thao túng giá wALBT và cuỗm đi luôn token BEUR.

The @BonqDAO is exploited and its price oracle is manipulated to increase the #WALBT price. Here is the example hack tx: https://t.co/YPxXMr2nkf pic.twitter.com/XrzExHY6m1

— PeckShield Inc. (@peckshield) February 1, 2023

Sau đó, hacker đã hoán đổi 500.000 BEUR lấy USDC trên Uniswap trước khi đốt tất cả 113,8 triệu wALBT để unlock ALBT.

Tài khoản Twitter có tên Spreek – một trong những người đầu tiên phát hiện ra vụ hack – tuyên bố kẻ khai thác đã “dump” số BEUR và ALBT kia để lấy 500.000 USDC và 144 ETH (trị giá 230.000 USD).

seems that @BonqDAO and @allianceblock has been exploited and large amounts of BEUR and ALBT tokens tokens have been stolen. hacker so far has managed to get 500k USDC from dumping BEUR. He still has 98m BEUR and $12m worth of ALBT. pic.twitter.com/2NPAyXIpGQ

— Spreek (@spreekaway) February 1, 2023

Hậu sự cố bảo mật, giá của BEUR và ALBT đã giảm đáng kể trong một khoảng thời gian ngắn. 

The actor then walks away by withdrawing the illicit gains with 113.8M #WALBT and 98M #BEUR (valued >$10M). Some of these tokens are then dumped, resulting in major drop! #WALBT dropped by >50% and #BEUR dropped by 34% pic.twitter.com/HEYxrcaB5Y

— PeckShield Inc. (@peckshield) February 1, 2023

AllianceBlock – đơn vị phát hành ALBT – cũng đã xác nhận kẻ khai thác đã chiếm quyền kiểm soát 113,8 triệu ALBT.

ANNOUNCEMENT

There has been a recent incident involving several ALBT Troves on Bonq, with the attacker gaining access to around 110M ALBT.

The incident is isolated to these Troves. None of our smart contracts was breached or compromised. pic.twitter.com/puntkIPK3G

— AllianceBlock (@allianceblock) February 1, 2023

AllianceBlock khẳng định vụ việc cô lập hoàn toàn với các trove BonqDAO và không có smart contract nào bị xâm phạm. Cả hai đội ngũ đã lập tức loại bỏ tất cả thanh khoản trên Bonq để chặn đứng việc chuyển đổi và tẩu tán chỗ token bị đánh cắp của hacker.

Ngoài ra, AllianceBlock cũng tạm dừng cầu nối bắc cầu tài sản cho đến khi giải quyết được tình hình. Thông báo từ AllianceBlock cũng cho biết sẽ mint mới token ALBT để bồi thường cho nạn nhân vụ hack.

BonqDAO là một tổ chức tự trị phi tập trung (DAO) nhằm mục đích cung cấp các dịch vụ tài chính tự quản cho các cá nhân và doanh nghiệp mà không cần từ bỏ quyền sở hữu tài sản. Trong khi đó, AllianceBlock là một nền tảng cơ sở hạ tầng phi tập trung kết nối các tổ chức tài chính truyền thống với các ứng dụng Web3.

Coin68 tổng hợp

Có thể bạn quan tâm:

• Kẻ tấn công cầu nối Wormhole chuyển đổi 157 triệu USD ETH sang token staking
• Nhà sáng lập dự án NFT nổi tiếng mất 1 triệu USD vì bị hack ví