BonqDAO和AllianceBlock在攻击事件中损失8800万美元因BonqDAO智能合约存在漏洞

2023-02-02 08:46:24

2月2日消息,北京时间2月2日凌晨2点左右,由于BonqDAO智能合约中的一个漏洞,加密协议BonqDAO和AllianceBlock在攻击事件中损失8800万美元。黑客从BonqDAO的金库(Troves)中移除了大约1.14亿枚 walbt(AllianceBlock的封装原生代币)和9800万枚beur代币。该金库由用户控制,用于铸造与欧元挂钩的支付代币beur。该漏洞利用的技术原因仍然未知。到目前为止,黑客已售出大约120万美元的代币,但由于流动性不足,无法将全部金额转换为稳定币或ETH。 AllianceBlock在推特上表示,该事件与BonqDAO金库无关,其没有违反智能合约。两个团队都致力于消除流动性以减轻黑客将被盗代币转换为其他资产的风险,并已停止所有交易所交易。AllianceBlock还暂停了AllianceBlock Bridge上的桥接,直到问题得到解决。下一步是对攻击前的用户进行快照,然后从快照那一刻起为所有受影响的用户制定解决方案。这包括创建新的ALBT代币并空投到快照中的地址。 今晨6时左右,BonqDAO发布公告称:“Bonq协议遭到预言机黑客攻击,利用者提高了ALBT价格并铸造了大量BEUR。然后在Uniswap上将BEUR换成其他代币。然后,价格下降到几乎为零,这引发了ALBT金库的清算。其他金库未受影响。Bonq协议已暂停。我们正在研究一种解决方案,允许用户提取所有剩余抵押品,而无需偿还BEUR,该方案将在欧洲中部时间明天上午发布。”(The Block)
211COIN发布此信息目的在于传播更多信息,与本网站立场无关,文章内容仅供参考,不代表任何确定性判断,且不构成投资建议,请谨慎对待,风险自担。
相关快讯
10:47
Beosin:BonqDAO和AllianceBlock损失8800万美元攻击事件简析
金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,2023年2月2日, 加密协议BonqDAO和AllianceBlock遭到价格操控攻击,Beosin安全团队分析发现,攻击原因为攻击者提高了 ALBT 价格并铸造了大量 BEUR代币,然后在 Uniswap 上将 BEUR 换成其他代币,然后ALBT价格下降到几乎为零,这进一步引发了 ALBT 宝库的清算,造成损失约 8800 万美元,Beosin Trace追踪发现目前大部分获利资金仍在黑客钱包(0x34483cfc1ea7e59d42a04096f56cd5517bb66b44)。目前AllianceBlock 和 Bonq 团队,包括所有相关合作伙伴,现在正在消除流动性并停止所有交易所交易。同时,暂停了 AllianceBlock Bridge 上的所有活动。
09:18
BonqDAO攻击事件黑客地址2向Tornado Cash转入70枚ETH
金色财经消息,据CertiK监测,BonqDAO攻击事件黑客地址2 (0x9210F) 向Tornado Cash转入70枚ETH(约11.7万美元)。 目前0x9210F地址中仍有7.5枚ETH和价值约61.3万美元的ALBT。
16:55
BonqDAO攻击事件黑客已将约49.4枚ETH转至EOA账户地址0x9ec
金色财经消息,据CertiK监测,BonqDAO攻击事件黑客已将约49.4枚ETH转至EOA 账户地址 0x9ec。目前资金已被转换为约8.2万枚DAI。
13:16
BonqDAO攻击事件黑客地址2再次向Tornado Cash转入40枚ETH
金色财经消息,据CertiK监测,BonqDAO攻击事件黑客地址2 (0x9210F) 再次向Tornado Cash转入40枚ETH(约6.73万美元)。目前0x9210F地址中仍有6.5枚ETH(约1.1万美元)。
12:12
安全团队:BonqDAO攻击事件黑客今日抛售520万枚ALBT获利74 ETH
金色财经报道,据派盾监测数据显示,非托管借贷平台 BonqDAO 攻击事件黑客今日抛售 520 万枚 ALBT,获利 74 ETH(约合 15.5 万美元),平均价格在 0.015 美元至 0.035 美元之间。 此前报道,BonqDAO 和加密基础设施平台 AllianceBlock 昨日因 BonqDAO 的智能合约被漏洞利用,损失约 8800 万美元。
15:14
安全团队:DFX Finance存在严重漏洞遭攻击攻击者获利逾23万美元
11月11日消息,据慢雾安全团队情报,2022 年 11 月 11 日,ETH 链上的 DFX Finance 项目遭到攻击,攻击者获利约 231,138 美元。慢雾安全团队以简讯形式分享如下: 1. 攻击者首先调用了名为 Curve 的合约中的 viewDeposit 函数来查看合约中的存款情况,之后根据返回的存款情况来构造合适的闪电贷需要借出的钱 2. 紧接着继续 Curve 合约的 flash 函数进行闪电贷,因为该函数未做重入锁保护,导致攻击者利用闪电贷中的 flashCallback 函数回调了合约的 deposit 函数进行存款 3. 存款函数外部调用了 ProportionalLiquidity 合约的 proportionalDeposit 函数,在该函数中会将第二步中借来的资金转移回 Curve 合约里,并且为攻击合约进行存款的记账,并且为攻击合约铸造存款凭证 4. 由于利用重入了存款函数来将资金转移回 Curve 合约中,使得成功通过了闪电贷还款的余额检查 5. 最后调用 withdraw 函数进行取款,取款时会根据第三步存款时对攻击合约记账燃烧掉存款凭证,并以此成功取出约 2,283,092,402 枚的 XIDR 代币和 99,866 枚 USDC 代币获利 此次攻击的主要原因在于 Curve 合约闪电贷函数并未做重入保护,导致攻击重入了存款函数进行转账代币来通过闪电贷还款的余额判断,由于存款时有记账所以攻击者可以成功提款获利。
Copyright © 2018-2022 211COIN版权所有.