Protokół DeFi Ankr dotknięty przez exploit o wartości wielu milionów dolarów

Koncentrując się na fiasku FTX, hakerzy DeFi bawili się, uderzając w Ankr i zgodnie z dostępnymi informacjami kradnąc 5 milionów dolarów.

Hakerzy byli w stanie wykorzystać błąd nieograniczonego bicia. Protokół DeFi stwierdził, że współpracuje z giełdami, aby złagodzić wpływ włamania. 

Ankr pada ofiarą do wykorzystania 

Ankr, protokół zdecentralizowanych finansów (DeFi) oparty na łańcuchu BNB, potwierdził, że padł ofiarą exploita o wartości wielu milionów dolarów. Atak miał miejsce 1 grudnia i został odkryty 2 grudnia przez analityka bezpieczeństwa sieciowego PeckShield. Wkrótce potem Ankr potwierdził rozwój wydarzeń, stwierdzając na Twitterze, że hakerom udało się wykorzystać token aBNB. Ogłosili również, że współpracują z giełdami w celu wstrzymania handlu danym tokenem. 

„Nasz token aBNB został wykorzystany i obecnie współpracujemy z giełdami, aby natychmiast wstrzymać handel”.

Szczegóły włamania 

Według dostępnych szczegółów haker był w stanie wybić 20 bilionów Ankr Reward Bearing Staked BNB (aBNBc) dzięki luce w inteligentnym kontrakcie dla tokena.

„Nasza analiza pokazuje, że kontrakt na token $aBNBc ma nieograniczony błąd mennicy. W szczególności, podczas gdy mint() jest chroniony modyfikatorem onlyMinter, istnieje inna funkcja (z sygnaturą func. 0x3b3a5522), która całkowicie omija weryfikację dzwoniącego, aby mieć dowolną mennicę !!!”

PeckShield poinformował, że haker przelał na Tornado Cash około 900 BNB o wartości około 253,000 3000 USD. Dodatkowo, exploit połączył również USDC i ETH z blockchainem Ethereum. Według PeckShield haker posiada 500,000 ETH i około XNUMX XNUMX USDC. 

20 bilionów tokenów aBNBc posiadanych przez atakującego czyni go 13. największym posiadaczem tokena. Token aBNBc jest nagradzanym tokenem dla tokenów BNB postawionych na platformie Ankr. 

Luki w kodzie Smart Contract 

Firma Beosin zajmująca się bezpieczeństwem Blockchain potwierdziła źródło exploita, stwierdzając, że jest to prawdopodobnie spowodowane lukami w kodzie inteligentnej umowy, a także przejętymi kluczami prywatnymi. Według Beosina luki te mogły wynikać z technicznej aktualizacji przeprowadzonej przez Ankr. 

„@ankr został wykorzystany. $aBNBc spadło o -99.5%. Haker wybił tony dolarów aBNBc i osiągnął zysk w wysokości 5,500 BNB (~1.6 miliona dolarów). Wdrażający zmienił kontrakt wdrożeniowy na wrażliwy adres kontraktu przed atakiem (prawdopodobnie z powodu naruszenia klucza prywatnego).”

Rzecznik firmy ochroniarskiej stwierdził:

„Możliwe, że klucz prywatny instalatora został ujawniony podczas tej aktualizacji, co doprowadziło do tego, że atakujący użył uprawnień instalatora do zmodyfikowania umowy”. 

Binance bada exploit 

Binance w poście z 2 grudnia potwierdził, że jego zespół był zaangażowany w Ankr i inne powiązane strony i dalej badał sprawę. Dodał również, że żadne środki użytkowników Binance nie były zagrożone. 

„Jesteśmy świadomi ataku wymierzonego w token aBNBc @ankr. Nasz zespół współpracuje z odpowiednimi stronami i @BNBCHAIN ​​w celu dalszego zbadania sprawy. To nie jest atak na #Binance, a Twoje środki są SAFU na naszej giełdzie. Ten wątek zostanie zaktualizowany, jeśli pojawią się jakieś aktualizacje. ”

Spadki cen ANKR i BNB 

W wyniku tych wydarzeń zarówno ANKR, jak i BNB odnotowały znaczny spadek cen. W momencie, gdy pojawiła się wiadomość o exploicie, token ANKR spadł o około 6.6%, spadając do 0.0211 USD. Jednak od tego czasu poprawił się i obecnie wynosi 0.0216 USD. Token spadł już o ponad 90% z rekordowego poziomu 0.213 USD. Token BNB również spadł, spadając o 3.1%. Spadek ten został jednak przypisany szerszemu spadkowi na rynkach kryptograficznych. 

Hacki DeFi drastycznie wzrosły w ciągu ostatnich kilku miesięcy, a październik stał się najgorszym miesiącem w historii DeFi. Kilka protokołów DeFi, takich jak Usługa budzika Ethereum, QuickSwap firmy Polygon, Rynki Mangoi inni padli ofiarą nadużyć.

Zastrzeżenie: ten artykuł służy wyłącznie do celów informacyjnych. Nie jest oferowana ani przeznaczona do wykorzystania jako porady prawne, podatkowe, inwestycyjne, finansowe lub inne.