零时科技 || 损失 8800 万美元，加密协议 BonqDAO 被攻击事件分析

事件背景

零时科技区块链安全情报平台监控到消息，北京时间 2023 年 2 月 2 日，polygon 链上去中心化借贷协议 BONQ 受到黑客攻击，攻击者获得了 1.13 亿个 WALTB 和 9865 万个 BEUR，攻击者地址为 0xcAcf2D28B2A5309e099f0C6e8C60Ec3dDf656642，攻击者将部分 BEUR 售出获得 USDC 通过跨链转移至 ETH 链。零时科技安全团队及时对此安全事件进行分析。

漏洞及核心

TellorFlex 中可通过调用 submitValue 函数进行更改代币价格，当用户质押的 TRB 代币大于 stakeAmount 时可获得修改代币价格权限。

stakeAmount 初始值在构造函数中传入，后续可通过调用 updateStakeAmount 修改，从链上信息可知，updateStakeAmount 函数未被调用，因此攻击者可通过质押初始值获得修改代币价格，从攻击交易中可得值为 10TRB。

攻击者调用 BONQ 合约中的 createTrove 函数创建 trove 合约，trove 合

约中抵押价格计算方法是预言机中抵押品 Token 价格除以借款数量。

此合约中使用的预言机为 TellorFlex 合约，此前攻击者已经将 ALBT 代币价格修改到相当高，因此攻击者可以使用较小的 WALBT 借出大量 BEUR。

从攻击交易中可以看出，攻击者使用 0.1WALBT 借出 1 亿个 BEUR.

资金来源及流向

资金来源

此地址初始资金在 ETH 链上由 Tornado.Cash 混币平台转入

资金流向

1. 攻击者将部分 BEUR 兑换为 534,535 USDC，通过跨链转移至 ETH 链，之后兑换为 DAI，目前资金暂无进一步移动

2. 攻击者目前共抛售 1600 万 ALBT，获得约 785ETH，目前资金仍存在 ETH 链上攻击者地址中。

总结及建议

本次攻击由于 TellorFlex 预言机报价修改时所需要的抵押物价值较小，且 BONQ 借贷合约中抵押物借贷数量只与 TellorFlex 预言机价格有关，因此攻击者可以使用较低的成本修改预言机报价后进行抵押借贷获得相当可观的利润。

♦安全建议

建议项目方增加多种喂价机制，避免预言机受到控制时由于单一喂价遭受损失。

建议项目方上线前进行多次审计，避免出现审计步骤缺失