借貸協議 Bonq 於今(2)日遭到駭客攻擊,透過操縱 AllianceBlock 代幣價格,估共損失 1.2 億美元。目前 BonqDAO 和 AllianceBlock 正在積極消除流動性,並承諾未來將空投新代幣來補償用戶。
(前情提要:北韓駭客|拉撒路再轉出「Harmony贓款」2718萬鎂,部分遭幣安、火必凍結 )
(背景補充:駭客也看漲ETH!Wormhole攻擊者將1.5億贓款「槓桿做多」以太坊 )
去中心化自治組織 BonqDAO 的借貸協議 Bonq 於今(2)日遭到駭客攻擊,因該協議的智能合約漏洞,而使駭客能操縱 AllianceBlock 代幣的價格;據區塊鏈安全公司 PeckShield 分析,該攻擊事件損失約 1.2 億美元,AllianceBlock 代幣價格暴跌近 80%。目前 BonqDAO 和 AllianceBlock 正在積極消除流動性以避免代幣交易,並承諾未來將空投新代幣來補償用戶。
駭客攻擊流程
BonqDAO 今晨 6 時左右於推特表示,其協議的預言機遭到攻擊,駭客可以提高 AllianceBlock(ALBT)價格並於Bonq 協議上鑄造大量與歐元掛勾的 BEUR 代幣;隨後在 Uniswap 上將 BEUR 兌換成其他代幣,使 BEUR 的價格下降至近 0 美元,此操作觸發了 ALBT 金庫的清算機制。據區塊鏈安全公司 PeckShield 分析,BonqDAO 在該攻擊事件損失約 1.2 億美元。
https://twitter.com/BonqDAO/status/1620908233761378304?s=20&t=kSVab8b92dv9Z7-K_2W0WA
PeckShield 於推特解釋攻擊事件的起因,駭客先是在 BonqDAO 的智能合約中更改預言機 updatePrice 的函數,這意味著能夠操縱 wALBT(包裝後的 AllianceBlock 原生代幣)價格,價格大幅提高的 ALBT 將能鑄造大量的 BEUR 代幣。
The @BonqDAO is exploited and its price oracle is manipulated to increase the #WALBT price. Here is the example hack tx: https://t.co/YPxXMr2nkf pic.twitter.com/XrzExHY6m1
— PeckShield Inc. (@peckshield) February 1, 2023
隨後,駭客在 Uniswap 上將價值約 500,000 美元的 BEUR 換成 USDC,使 BEUR 的價格幾乎下降至 0 美元,該操作進一步觸發 ALBT 金庫的清算機制。據 PeckShield 於推特中指出,預估該攻擊事件損失約為 1.2 億美元,包含 9,800 萬美元的 BEUR 和 1.138 億美元的 ALBT。
The estimated loss of @BonqDAO hack is ~$120M: 98M $BEUR (was priced $1.1 -> $108M) and 113.8M $WALBT (was priced -> $0.1 at $11M). Now the $BEUR price is dropped by >30% and $WALBT dropped by >50%! https://t.co/z8XyBLgRxr
— PeckShield Inc. (@peckshield) February 1, 2023
BEUR 和 ALBT 代幣的價格在短時間內大幅下跌,BEUR 的最大跌幅來到 34%,目前稍有回升來到 0.85 美元,ALBT 的最大跌幅近 80%,從 0.111 美元跌至 0.023 美元。
Bonq 暫停運作,提出補救和解決方案
BonqDAO 在後續的推文中表示,已暫停協議並正在研究恢復的解決方案:
其他金庫不受影響,Bonq 協議已暫停。我們正在研究一種解決方案,允許用戶提取所有剩餘抵押品而無需償還金庫中的 BEUR,預計將於在歐洲中部時間明天上午發布。
另 AllianceBlock 也在推特中表示,AllianceBlock 和 Bonq 團隊,包括所有相關合作夥伴,現在正在消除流動性,並停止所有交易所交易,其智能合約在攻擊期間並未遭到破壞或攻擊。後續 AllianceBlock 將依照駭客攻擊前的快照,鑄造新的 $ALBT,並將新代幣空投給受影響的用戶。
ANNOUNCEMENT
There has been a recent incident involving several ALBT Troves on Bonq, with the attacker gaining access to around 110M ALBT.
The incident is isolated to these Troves. None of our smart contracts was breached or compromised. pic.twitter.com/puntkIPK3G
— Nexera (@Nexera_Official) February 1, 2023
相關報導
SEC起訴Mango駭客「違反證券法」,與CFTC爭搶管轄Defi、預言機
