据 Peckshield 称,一次 oracle 黑客攻击允许利用者操纵 AllianceBlock 代币的价格,导致估计损失 1.2 亿美元。

一个小型去中心化自治组织 (DAO) 遭受了相当大的智能合约攻击,导致其协议中估计有 1.2 亿美元被盗。

Bonq 协议背后的 BonqDAO 在 2 月 1 日告诉其 Twitter 追随者,其协议遭到 oracle 黑客攻击,允许利用者操纵 AllianceBlock (ALBT) 代币的价格。

图片[1] - BonqDAO协议在oracle黑客攻击后遭受1.2亿美元的损失

块链安全公司 PeckShield的一项独立分析估计,Bonq 黑客攻击造成的损失约为 1.2 亿美元,其中 1.08 亿美元来自 9865 万个 BEUR 代币,1100 万美元来自 1.138 亿个 wrapped-ALBT (wALBT) 代币。

根据多链投资组合追踪机构 DeBank 的数据,虽然该漏洞利用在多笔交易中生效,但最大的一笔交易是 2 月 1 日世界标准时间下午 6 点 32 分,金额为 8219 万美元。

大多数大规模交易都发生在 Polygon 网络上。

它是怎么发生的

PeckShield 解释说,利用者能够在 BonqDAO 的一个智能合约中更改 oracle 的 updatePrice 函数,这意味着他们能够操纵 wALBT 代币的价格。

图片[2] - BonqDAO协议在oracle黑客攻击后遭受1.2亿美元的损失

这触发了对 wALBT 和 BEUR 的利用。然后,黑客在 Uniswap 上将价值约 500,000 美元的 BEUR 换成 USDC,然后销毁所有 1.138 亿个 wALBT 以解锁 ALBT。

链上安全观察员“Spreek”——他是第一个发现该漏洞的人之一——向他的 18,800 名 Twitter 关注者表示,该漏洞利用者后来为一些 USDC(500,000 美元)和 144 ETH(236,000)倾销了更多 BEUR 和 ALBT代币。

PeckShield 和其他人指出,BEUR 和 ALBT 代币的价格在短时间内大幅下跌:

图片[3] - BonqDAO协议在oracle黑客攻击后遭受1.2亿美元的损失

在后续推文中,BonqDAO 表示已暂停协议并正在研究恢复解决方案。

“其他宝藏不受影响。Bonq 协议已暂停。我们正在研究一种解决方案,允许用户提取所有剩余抵押品而无需偿还宝库中的 BEUR。它将于明天早上 CET 发布,”它说。

AllianceBlock——ALBT 的代币发行者——也在 2 月 1 日分享了这一消息,向其 51,300 名 Twitter 关注者解释说,一个利用者设法获得了 1.138 亿个 ALBT 代币。

该团队正在消除 Bonq 上的所有流动性,并已停止交易所交易,并补充说 AllianceBlock 上没有利用任何智能合约。

图片[4] - BonqDAO协议在oracle黑客攻击后遭受1.2亿美元的损失

AllianceBlock 的公告还补充说,在公告发布之前,他们将向那些受漏洞利用影响的人铸造新的 ALBT 代币。

BonqDAO 是一个去中心化的自治组织 (DAO),旨在为个人和企业提供免息的自主金融服务,同时不放弃其资产的所有权。

AllianceBlock 是一个去中心化的基础设施平台,将传统金融机构连接到 Web3 应用程序。