Po wczorajszym potwierdzonym exploicie o wartości wielu milionów dolarów, protokół oparty na łańcuchu BNB, Ankr, zamieścił na swoim firmowym blogu 2 grudnia do przekaźnik kolejne kroki użytkownikom.
Zespół powiedział, że identyfikuje dostawców płynności dla zdecentralizowanych giełd, a także protokoły obsługujące aBNBc lub aBNBb LP. Grupa powiedziała również, że ocenia pule zabezpieczeń aBNBc, takie jak Midas i Helio. Zgodnie z postem Ankr zamierza kupić BNB o wartości 5 milionów dolarów, które wykorzysta do zrekompensowania dostawcom płynności dotkniętym exploitem.
Niektórzy użytkownicy spekulacyjnie handlowali rozcieńczonym aBNBc również po wystąpieniu exploita, ale firma wskazała, że ci handlowcy nie zostaną uwzględnieni w środkach rekompensaty protokołu, stwierdzając, że „jesteśmy w stanie zrekompensować tylko LP zaskoczonych wydarzeniem”.
Aktualizacja naszego exploita tokena aBNB:
Jesteśmy wdzięczni naszej społeczności DEX-ów, giełd i protokołów, które pomogły nam szybko zakończyć exploit.
Wykorzystamy rezerwy, aby zrekompensować dostawcom płynności pule aBNBc.https://t.co/B2yNWBAQdX
- Ankr (@ankr) 2 grudnia 2022 r.
Twórcy krótko wyjaśnili, w jaki sposób doszło do włamania. Złośliwy aktor uzyskał dostęp do „klucza wdrożeniowego” zespołu lub klucza pierwotnie używanego do wdrażania inteligentnych kontraktów protokołu. Ponieważ kontrakty można aktualizować, pozwoliło to atakującemu wdrożyć całkowicie nową wersję jednego z kontraktów, co dało mu możliwość wybicia nieograniczonej liczby monet „bez sprawdzania autoryzacji”.
Po zdobyciu tej mocy zespół powiedział, że atakujący wybił 60 bilionów tokenów aBNBb „z powietrza”. Zostały one zamienione na USDC i przeniesione z sieci przez mosty do Ethereum.
W odpowiedzi zespół najpierw przeniósł własność kontraktów na nowe, bezkompromisowe konto. To zabezpieczyło kontrakty, uniemożliwiając atakującemu wyrządzenie dalszych szkód. Walidatory Ankr, RPC API i usługi App Chain nie zostały naruszone, więc przeniesienie własności umów było jedyną czynnością potrzebną do przywrócenia bezpieczeństwa.
Następnie Ankr zaalarmował wszystkie DEX-y, aby nie zezwalały na handel aBNBc lub aBNBb, a obecnie przechodzi proces identyfikacji dostawców płynności dla tych tokenów, takich jak ci, którzy dostarczają token Heliosowi i Midasowi.
W poście na blogu podkreślono, że obecne wersje aBNBc i aBNBb nie będą już wymienialne na BNB. Zostanie wykonana migawka sald, które użytkownicy mieli przed exploitem. Zostaną wydane nowe wersje tych tokenów, a posiadacze tokenów otrzymają rekompensatę w postaci nowych monet na podstawie sald, które mieli przed exploitem. Z tego powodu zespół ostrzegł użytkowników, aby nie handlowali aBNBc lub aBNBb.
Ankr wspomniał również, że zdał sobie sprawę, że niektórzy użytkownicy zaangażowali się w arbitraż, aby czerpać zyski z exploita, ale arbitraż ten nie zostanie nagrodzony, ponieważ migawka zostanie wykonana w dniu 02 grudnia 2022 r., 12:43:18 czasu UTC . Wszystkie transakcje dokonane po tym czasie nie będą miały wpływu na zwrot kosztów posiadacza.
Ponadto programiści stwierdzili, że dostawcy płynności powinni usunąć swoje tokeny aBNBc i aBNBb ze swoich pul płynności i zamiast tego trzymać tokeny w swoich portfelach.
Źródło: https://cointelegraph.com/news/ankr-says-no-one-should-trade-abnbc-only-lps-caught-off-guard-will-be-compensated