Una organización autónoma descentralizada (DAO, por sus siglas en inglés) a pequeña escala ha sufrido un exploit de contratos inteligentes bastante considerable que ha provocado el robo de unos USD 120 millones de su protocolo.
BonqDAO, que está detrás del protocolo Bonq, comunicó a sus seguidores de Twitter el 1 de febrero que su protocolo estaba expuesto a un hackeo de oráculo que permitía al explotador manipular el precio del token; AllianceBlock (ALBT).
Bonq protocol was exposed to an oracle hack, where exploiter increased the ALBT price and minted large amounts of BEUR. The BEUR was then swapped for other tokens on Uniswap. Then, the price was decreased to almost zero, which triggered the liquidation of ALBT troves.
— BonqDAO (@BonqDAO) February 1, 2023
Un análisis independiente de la empresa de seguridad blockchain PeckShield ha calculado que las pérdidas por el hackeo de Bonq ascienden a unos USD 120 millones, de los cuales USD 108 millones corresponden a 98.65 millones de tokens BEUR y USD 11 millones a 113.8 millones de tokens wALBT (wrapped-ALBT).
Aunque el exploit tuvo efecto en varias transacciones, la mayor fue de USD 82.19 millones a las 18:32 hora UTC del 1 de febrero, según el rastreador de billeteras cross-chain, DeBank.
La mayoría de las transacciones a gran escala tuvieron lugar en la red Polygon.
Cómo ocurrió
PeckShield explicó que el ladrón fue capaz de cambiar la función updatePrice del oráculo en uno de los contratos inteligentes de BonqDAO, lo que significaba que fue capaz de manipular el precio del token wALBT.
The @BonqDAO is exploited and its price oracle is manipulated to increase the #WALBT price. Here is the example hack tx: https://t.co/YPxXMr2nkf pic.twitter.com/XrzExHY6m1
— PeckShield Inc. (@peckshield) February 1, 2023
BonqDAO fue vulnerada y se manipuló su oráculo de precios para aumentar el precio de WALBT. Este es el ejemplo de la transacción hackeada:
Esto desencadenó la explotación de wALBT y BEUR. El hacker cambió entonces BEUR por USDC por valor de unos USD 500,000 en Uniswap antes de quemar los 113.8 millones de wALBT para desbloquear ALBT.
El observador de seguridad on-chain “Spreek” -que fue uno de los primeros en detectar el exploit- declaró a sus 18,800 seguidores de Twitter que el atacante vendió más tarde los tokens BEUR y ALBT por unos USDC (USD 500,000) y 144 ETH (USD 236,000).
PeckShield y otros observaron que el precio de los tokens BEUR y ALBT bajó considerablemente en poco tiempo:
The actor then walks away by withdrawing the illicit gains with 113.8M #WALBT and 98M #BEUR (valued >$10M). Some of these tokens are then dumped, resulting in major drop! #WALBT dropped by >50% and #BEUR dropped by 34% pic.twitter.com/HEYxrcaB5Y
— PeckShield Inc. (@peckshield) February 1, 2023
A continuación, el actor se marcha retirando las ganancias ilícitas con 113.8 miilones de WALBT y 98 millones de BEUR (valorados en >USD 10 millones). Algunos de estos tokens fueron vendidos, ¡lo que provocó una gran caída! WALBT cayó >50% y BEUR cayó 34%.
En un tuit de seguimiento, BonqDAO dijo que ha puesto en pausa el protocolo y está trabajando en una solución de recuperación.
“Otros troves no se ven afectados. El protocolo Bonq se ha puesto en pausa. Estamos trabajando en una solución que permitirá a los usuarios retirar todas las garantías restantes sin reembolsar BEUR en los troves. Se dará a conocer mañana por la mañana CET”, dijo.
AllianceBlock -los emisores de tokens de ALBT- también compartieron la noticia el 1 de febrero, explicando a sus 51,300 seguidores de Twitter que un explotador consiguió acceder a 113.8 millones de tokens de ALBT.
El equipo está en proceso de retirar toda la liquidez en Bonq y ha detenido el comercio de intercambio, dijo, y agregó que no se explotaron contratos inteligentes en AllianceBlock.
ANNOUNCEMENT
There has been a recent incident involving several ALBT Troves on Bonq, with the attacker gaining access to around 110M ALBT.
The incident is isolated to these Troves. None of our smart contracts was breached or compromised. pic.twitter.com/puntkIPK3G
— AllianceBlock (@allianceblock) February 1, 2023
El anuncio de AllianceBlock también añadía que acuñarían nuevos tokens ALBT para aquellos afectados por el exploit hasta el momento del anuncio.
BonqDAO es una organización autónoma descentralizada (DAO) cuyo objetivo es proporcionar servicios financieros autónomos a particulares y empresas sin intereses y sin renunciar a la propiedad de sus activos.
AllianceBlock es una plataforma de infraestructura descentralizada que conecta las instituciones financieras tradicionales con aplicaciones Web 3.0.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.