CertiK, firma zajmująca się bezpieczeństwem blockchain, sugeruje, że ilość szkód wyrządzonych zdecentralizowanemu protokołowi BonqDAO 1 lutego mogła być znacznie mniejsza niż wcześniej sądzono.
Według informacji dostarczonych przez CertiK, atakujący zaczął od zaciągnięcia pożyczki na 100 mln BEUR, czyli stablecoina euro, używając mniej niż 1,000 USD jako zabezpieczenia, ponieważ nie było ograniczeń co do współczynnika zabezpieczenia. Jeśli użytkownicy ustawią ten parametr na zero, wówczas platforma udostępni „największą wartość uint256” jako akcję domyślną. Umożliwi to dystrybucję niewiarygodnej liczby pożyczek.
Jednak według CertiK haker był w stanie wypłacić tylko około miliona dolarów z powodu braku płynności na platformie. Dzieje się tak pomimo faktu, że atakujący pożyczył łącznie sto milionów BEUR (około stu dwudziestu milionów dolarów w momencie ataku). Wcześniejsze raporty firm zajmujących się bezpieczeństwem blockchain, takich jak PeckSheild, sugerowały, że włamanie spowodowało straty w wysokości około 120 milionów dolarów.
Protokół Liquity został rozwidlony w Bonq, a oba łańcuchy bloków wykorzystują Troves do reprezentowania dyskretnych pozycji długu. Bonq jest rozwidleniem Protokołu Liquity. Z drugiej strony raporty wskazują, że Bonq wprowadził funkcję likwidacji społeczności, co doprowadziło do likwidacji 45 Troves, które miały ekspozycję na BEUR. CertiK informuje, że włamanie dotknęło również Troves, z których każdy miał około 110 milionów tokenów Alliance Block (ALBT). Jednak żaden z inteligentnych kontraktów Alliance Block nie został naruszony podczas wydarzenia, a zespół odpowiedzialny za projekt obiecał dystrybucję zastępczych tokenów poprzez zrzut z powietrza jako formę rekompensaty dla posiadaczy tokenów, którzy zostali poszkodowani.
Chociaż wygląda na to, że BonqDAO poniósł mniejsze straty w wyniku zdarzeń spowodowanych brakiem płynności, inni uczestnicy nie mieli tyle szczęścia. 12 października protokół DeFi Mango Markets poniósł początkową stratę w wysokości 116 milionów dolarów w wyniku manipulacji ceną tokena MNGO przez hakera Abrahama Eisenberga. Eisenberg podniósł cenę 30-krotnie, używając ogromnych wieczystych kontraktów futures w krótkim czasie. Ze względu na ograniczoną płynność było to wykonalne, ponieważ kwota początkowej gotówki potrzebnej do kontrolowania MNGO była tylko w niewielkim stopniu znacząca.
Następnie Eisenberg uzyskał pożyczkę na 116 milionów dolarów, wykorzystując jako zabezpieczenie 423 miliony dolarów ze swoich zawyżonych zasobów MNGO i ukradł gotówkę z platformy. Zrobił to równocześnie. 28 grudnia Eisenberg został zatrzymany w Puerto Rico pod zarzutem manipulowania wartością towarów i popełniania oszustw towarowych.
Źródło: https://blockchain.news/news/despite-the-attacker-borrowing-100-million-beur