El protocolo de BonqDAO sufre pérdidas de USD 120 millones tras el hackeo de un oráculo

Una organización autónoma descentralizada (DAO, por sus siglas en inglés) a pequeña escala ha sufrido un exploit de contratos inteligentes bastante considerable que ha provocado el robo de unos USD 120 millones de su protocolo.

BonqDAO, que está detrás del protocolo Bonq, comunicó a sus seguidores de Twitter el 1 de febrero que su protocolo estaba expuesto a un hackeo de oráculo que permitía al explotador manipular el precio del token; AllianceBlock (ALBT).

Un análisis independiente de la empresa de seguridad blockchain PeckShield ha calculado que las pérdidas por el hackeo de Bonq ascienden a unos USD 120 millones, de los cuales USD 108 millones corresponden a 98.65 millones de tokens BEUR y USD 11 millones a 113.8 millones de tokens wALBT (wrapped-ALBT).

Aunque el exploit tuvo efecto en varias transacciones, la mayor fue de USD 82.19 millones a las 18:32 hora UTC del 1 de febrero, según el rastreador de billeteras cross-chain, DeBank.

La mayoría de las transacciones a gran escala tuvieron lugar en la red Polygon.

Cómo ocurrió

PeckShield explicó que el ladrón fue capaz de cambiar la función updatePrice del oráculo en uno de los contratos inteligentes de BonqDAO, lo que significaba que fue capaz de manipular el precio del token wALBT.

Esto desencadenó la explotación de wALBT y BEUR. El hacker cambió entonces BEUR por USDC por valor de unos USD 500,000 en Uniswap antes de quemar los 113.8 millones de wALBT para desbloquear ALBT.

El observador de seguridad on-chain “Spreek” -que fue uno de los primeros en detectar el exploit- declaró a sus 18,800 seguidores de Twitter que el atacante vendió más tarde los tokens BEUR y ALBT por unos USDC (USD 500,000) y 144 ETH (USD 236,000).

PeckShield y otros observaron que el precio de los tokens BEUR y ALBT bajó considerablemente en poco tiempo:

En un tuit de seguimiento, BonqDAO dijo que ha puesto en pausa el protocolo y está trabajando en una solución de recuperación.

“Otros troves no se ven afectados. El protocolo Bonq se ha puesto en pausa. Estamos trabajando en una solución que permitirá a los usuarios retirar todas las garantías restantes sin reembolsar BEUR en los troves. Se dará a conocer mañana por la mañana CET”, dijo.

AllianceBlock -los emisores de tokens de ALBT- también compartieron la noticia el 1 de febrero, explicando a sus 51,300 seguidores de Twitter que un explotador consiguió acceder a 113.8 millones de tokens de ALBT.

El equipo está en proceso de retirar toda la liquidez en Bonq y ha detenido el comercio de intercambio, dijo, y agregó que no se explotaron contratos inteligentes en AllianceBlock.

El anuncio de AllianceBlock también añadía que acuñarían nuevos tokens ALBT para aquellos afectados por el exploit hasta el momento del anuncio.

BonqDAO es una organización autónoma descentralizada (DAO) cuyo objetivo es proporcionar servicios financieros autónomos a particulares y empresas sin intereses y sin renunciar a la propiedad de sus activos.

AllianceBlock es una plataforma de infraestructura descentralizada que conecta las instituciones financieras tradicionales con aplicaciones Web 3.0.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.

Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.