BonqDAO mất 120 triệu USD sau vụ hack oracle
Vào ngày 1/2, BonqDAO, công ty đứng sau Bonq protocol đã chia sẻ trên Twitter chính thức của dự án rằng giao thức đã bị tấn công. Hacker đã thao túng giá AllianceBlock (ALBT) và lấy đi số lượng lớn token.
Bonq protocol was exposed to an oracle hack, where exploiter increased the ALBT price and minted large amounts of BEUR. The BEUR was then swapped for other tokens on Uniswap. Then, the price was decreased to almost zero, which triggered the liquidation of ALBT troves.
— BonqDAO (@BonqDAO) February 1, 2023
Theo công ty bảo mật blockchain PeckShield, thiệt hại từ vụ hack Bonq khoảng 120 triệu USD, bao gồm 98.6 triệu token BEUR (trị giá 108 triệu USD) và 113.8 triệu token wALBT (trị giá 11 triệu USD).
Hầu hết các giao dịch có khối lượng lớn đều diễn ra trên blockchain Polygon. Theo công cụ theo dõi danh mục đầu tư DeBank, giao dịch lớn nhất là 82.2 triệu USD, diễn ra vào lúc 1h32 sáng ngày 2/2 (giờ Việt Nam). Sau đó, số tiền này tiếp tục được chuyển đến nhiều ví khác.
PeckShield giải thích rằng kẻ khai thác có thể thay đổi chức năng cập nhật giá của oracle ở một trong các hợp đồng thông minh của BonqDAO. Sau đó, hacker có thể thao túng giá của token wALBT.
The @BonqDAO is exploited and its price oracle is manipulated to increase the #WALBT price. Here is the example hack tx: https://t.co/YPxXMr2nkf pic.twitter.com/XrzExHY6m1
— PeckShield Inc. (@peckshield) February 1, 2023
Sau đó, hacker đã hoán đổi token BEUR (trị giá khoảng 500,000 USD) sang USDC trên Uniswap và đốt tất cả 113.8 triệu wALBT để mở khóa ALBT.
Theo tài khoản Twitter @spreekaway (một trong những người đầu tiên phát hiện ra vụ tấn công), hacker đã bán token BEUR và ALBT, thu về 500,000 USDC và 144 ETH (trị giá 236,000 USD). Sau đó, giá của token BEUR và ALBT đều bắt đầu giảm mạnh.
seems that @BonqDAO and @allianceblock has been exploited and large amounts of BEUR and ALBT tokens tokens have been stolen. hacker so far has managed to get 500k USDC from dumping BEUR. He still has 98m BEUR and $12m worth of ALBT. pic.twitter.com/2NPAyXIpGQ
— Spreek (@spreekaway) February 1, 2023
Chia sẻ về vụ việc, BonqDAO cho biết dự án đã tạm dừng giao thức và đang nghiên cứu tìm giải pháp khắc phục hậu quả.
“Các vault khác không bị ảnh hưởng. Giao thức Bonq đã bị tạm dừng. Chúng tôi đang nghiên cứu giải pháp cho phép người dùng rút tất cả tài sản thế chấp còn lại mà không cần hoàn trả BEUR”.
Ngày 1/2, AllianceBlock (công ty phát hành token ALBT) cũng lên tiếng về vụ hack trên. AllianceBlock cho biết nhóm đang trong quá trình loại bỏ tất cả thanh khoản trên Bonq và tạm dừng giao dịch hoán đổi. Dự án cũng cho biết thêm không có hợp đồng thông minh nào bị khai thác trên AllianceBlock.
ANNOUNCEMENT
— AllianceBlock (@allianceblock) February 1, 2023
There has been a recent incident involving several ALBT Troves on Bonq, with the attacker gaining access to around 110M ALBT.
The incident is isolated to these Troves. None of our smart contracts was breached or compromised. pic.twitter.com/puntkIPK3G