وفقًا لاستخبارات فريق الأمان SlowMist ، في 2 فبراير 2023 ، تمت مهاجمة مشروع BonqDAO على سلسلة Polygon ، وحصل المهاجم على كمية كبيرة من رموز WALBT و BEUR (113 مليون WALBT ، 98.65 مليون BEUR). شارك فريق أمان SlowMist ما يلي في شكل نشرة إخبارية: 1. مصدر أوراكل الذي تستخدمه منصة BonqDAO هو نسبة سعر التغذية الذاتية TellorFlex إلى سعر Chainlink. أحد القيود الرئيسية لتحديث سعر TellorFlex هو أن مراسل الأسعار يحتاج إلى رهن 10 تيرا بايت أولاً. قم بتحديث تقديم السعر. في TellorFlex ، يمكن استخدام وظيفة updateStakeAmount لتحديث مبلغ TRB الذي يحتاجه مراسل الأسعار إلى المشاركة بشكل دوري وفقًا لسعر الضمان. 2. نظرًا لأن مبلغ الرهن العقاري في TRB لعقد TellorFlex oracle قد تم تعيينه على 10 في البداية ، ولم يتم تحديثه من خلال وظيفة updateStakeAmount بعد ذلك ، فإن المهاجم يحتاج فقط إلى رهن 10 TRB ليصبح مراسلًا للأسعار واستدعاء وظيفة submitValue تعديل سعر الرموز المميزة WALBT في أوراكل 3. بعد تعديل السعر ، يستدعي المهاجم وظيفة createTrove لعقد Bonq لإنشاء رصيد لعقد الهجوم. تتمثل وظيفة العقد الدفين بشكل أساسي في تسجيل حالة الضمان وحالة المسؤولية للمستخدم ، 4. مباشرة بعد أن يقوم المهاجم بتنفيذ عمليات الرهن العقاري في البروتوكول ، ثم استدعاء وظيفة الاستعارة للاقتراض ، يتم تعديل سعر الرموز المميزة WALBT ورفعها ، مما يتسبب في قيام البروتوكول بسك عدد كبير من رموز BEUR للمهاجم 5. هجوم المعاملة ، استخدم المهاجم الطريقة المذكورة أعلاه لتعديل سعر WALBT ، ثم قام بتصفية المستخدمين الآخرين الذين لديهم التزامات في السوق للحصول على كمية كبيرة من رموز WALBT. 6. وفقًا لتحليل MistTrack لـ SlowMist ، تم حرق 113 مليون WALBT على سلسلة Polygon وتم سحب ALBT من سلسلة ETH ، وتم تحويل بعض ALBTs إلى ETH حتى 0x ؛ سلسلة ETH وتحويلها إلى DAI. السبب الجذري لهذا الهجوم هو أن المهاجم يستخدم آلة أوراكل لعرض أسعار الضمانات المطلوبة بتكلفة أقل بكثير من الربح الذي تم الحصول عليه من الهجوم ، وبالتالي التلاعب بالسوق وتصفية المستخدمين الآخرين عن طريق تقديم أسعار خاطئة بشكل ضار. حتى الآن ، تم استبدال 946.000 ALBT بـ 695 ETH ، و 558.000 BEUR بـ 534.000 DAI. لا يزال المتسللون يقومون بتحويل ALBT إلى ETH ، ولم يتم العثور على أي أموال ليتم تحويلها إلى البورصات ومنصات أخرى. ستستمر MistTrack في مراقبة تغييرات المتسللين ومتابعتها لحظرها.
Beincrypto