Компания CertiK, занимающаяся безопасностью блокчейна, предполагает, что ущерб, нанесенный децентрализованному протоколу BonqDAO 1 февраля, мог быть намного меньше, чем предполагалось ранее.
Согласно информации, предоставленной CertiK, злоумышленник начал с того, что взял кредит на 100 миллионов BEUR, который представляет собой стейблкоин евро, используя менее 1,000 долларов США в качестве залога, поскольку не было ограничений по коэффициенту обеспечения. Если пользователи устанавливают для параметра значение ноль, то платформа предоставит «наибольшее значение uint256» в качестве действия по умолчанию. Это позволит распределить невероятное количество кредитов.
Однако, по данным CertiK, хакер смог вывести только около миллиона долларов из-за отсутствия ликвидности на платформе. И это несмотря на то, что злоумышленник занял в общей сложности сто миллионов BEUR (примерно сто двадцать миллионов долларов на момент атаки). Более ранние отчеты компаний, занимающихся безопасностью блокчейна, таких как PeckSheild, предполагали, что взлом привел к убыткам в размере около 120 миллионов долларов.
Протокол Liquity был разветвлен в Bonq, и оба блокчейна используют Troves для представления дискретных долговых позиций. Bonq — это форк протокола Liquity. С другой стороны, отчеты показывают, что Bonq ввела функцию ликвидации сообщества, в результате которой было ликвидировано 45 Troves, которые подвергались риску BEUR. CertiK сообщает, что взлом также затронул Troves, в каждой из которых было около 110 миллионов токенов Alliance Block (ALBT). Тем не менее, ни один из смарт-контрактов Alliance Block не был скомпрометирован во время мероприятия, и команда, стоящая за проектом, пообещала распределить токены на замену через аирдроп в качестве компенсации владельцам токенов, которые пострадали.
Хотя кажется, что BonqDAO понес меньшие убытки в результате происшествий из-за отсутствия ликвидности, другим участникам не так повезло. 12 октября протокол DeFi Mango Markets понес первоначальные убытки в размере 116 миллионов долларов в результате манипуляций хакера Авраама Айзенберга с ценой токена MNGO. Айзенберг поднял цену в 30 раз, используя огромные бессрочные фьючерсные контракты за короткий промежуток времени. Из-за ограниченной ликвидности это было осуществимо, поскольку сумма первоначальных денежных средств, необходимых для управления MNGO, была лишь незначительной.
После этого Айзенберг получил кредит на 116 миллионов долларов, используя 423 миллиона долларов своих раздутых активов MNGO в качестве обеспечения, и украл наличные с платформы. Он сделал это одновременно. 28 декабря Айзенберг был взят под стражу в Пуэрто-Рико по подозрению в манипулировании стоимостью товаров и мошенничестве с товарами.
Source: https://blockchain.news/news/despite-the-attacker-borrowing-100-million-beur