Le protocole BonqDAO victime d'un hack à 120 millions de dollars

Un hack de type « oracle »

Dans une publication sur Twitter, le protocole BonqDAO a annoncé avoir été victime d'une attaque de type « oracle » ayant conduit à son effondrement. À l'heure de l'écriture, les dégâts sont estimés à près de 120 millions de dollars.

https://twitter.com/BonqDAO/status/1620908233761378304

Posons le contexte pour mieux comprendre cette attaque. BonqDAO est un protocole de lending assez particulier. En effet, il permet à un utilisateur de verrouiller des actifs dans des troves - des smarts contracts auxquels lui seul peut accéder - et de récupérer en retour du stablecoin BEUR, adossé au dollar.

Concrètement, le hacker a réussi à modifier et augmenter énormément le prix du token ALBT de l'oracle AllianceBlock utilisé par le protocole BonqDAO. Ainsi, il a pu utiliser le protocole pour mint du BEUR, qu'il a finalement échangé contre d'autres tokens via Uniswap. Cela a entraîné la chute du ALBT à zéro, liquidant toutes les positions des troves.

The @BonqDAO is exploited and its price oracle is manipulated to increase the #WALBT price. Here is the example hack tx: https://t.co/YPxXMr2nkf pic.twitter.com/XrzExHY6m1

— PeckShield Inc. (@peckshield) February 1, 2023

Ce procédé n'est évidemment pas sans rappeler l'attaque de Mango Markets en octobre dernier, ayant entraîné la perte de 114 millions de dollars.

Ce qui étonne dans cette affaire, c'est la simplicité enfantine avec laquelle le hacker a pu trafiquer le prix du token ALBT dans l'oracle. Comme vous pouvez le constater sur l'historique de transaction, il a simplement modifié une ligne de code et le tour était joué.

? Pour aller plus loin – Qu'est-ce que la DeFi ? Tout savoir sur la finance décentralisée

120 millions de dollars volés

La société de sécurité spécialisée dans la blockchain, Peckshield, a estimé les pertes subies par l'attaque à environ 120 millions de dollars, dont 98 millions en BEUR et 12 millions en ALBT. L'individu aurait réussi à transférer des fonds de Polygon vers Ethereum, transformés ensuite en 1,2 millions d'Ether (ETH) et 500 000 DAI.

Pour l'heure, BonqDAO a déclaré avoir mis le protocole en pause et travailler à une solution de relance et de récupération des fonds dérobés.

L'oracle AllianceBlock, qui fait le pont entre la finance décentralisée et la finance traditionnelle, a confirmé l'incident le 1er février. L'équipe a indiqué que les hackers ont réussi à accéder à environ 110 millions de jetons ALBT. Toutefois, seuls les troves en ALBT sont concernés et les autres sont donc intactes.

« Les autres troves ne sont pas affectés. Le protocole Bonq a été mis en pause. Nous travaillons sur une solution qui permettra aux utilisateurs de retirer toutes les garanties restantes sans rembourser les BEUR dans les troves. Elle sera publiée demain matin. »

Pour le moment, toutes les activités d'AllianceBlock sont également suspendues. La plateforme a toutefois déclaré qu'elle prendrait des mesures pour rembourser les personnes concernées, notamment en réalisant un snapshot avant l'attaque et en procédant à un airdrop de tokens.

« Les équipes d'AllianceBlock et de Bonq, y compris tous les partenaires concernés, sont en train de supprimer les liquidités et d'interrompre toutes les transactions. »

Actuellement, l'oracle s'affaire à retirer toutes les liquidités de Bonq, précisant toutefois qu'aucun des smart-contracts d'AllianceBlock n'est concerné ou endommagé.

? Sécurisez vos cryptomonnaies grâce aux portefeuilles physiques de chez Ledger

Journaliste pour Cryptoast, je m'efforce de décortiquer chaque détail de l'univers passionnant des cryptomonnaies et de le rendre accessible et compréhensible au plus grand nombre.

Lilian Aliaga

570 articles

Tous ses articles