2. prosinca, u 12:35 GMT, Peckshield je označio exploit koji je napravio napadač na Ankr protokol. Eksploatacija je napravila put s 20 trilijuna aBNBc nagradnih tokena iz protokola.
Ankr Reward Bearing Staked BNB (aBNBc) je token koji nosi nagradu, što znači da njegova količina ostaje ista od trenutka stavljanja uloga. Token raste kako njegov omjer otkupa raste zbog akumulacije nagrada.
Ankr je lansirao token na Binance lanac kao tekući staking funkcija na Ankr. Korisnici su zaradili kamate ulažući svoj BNB u Smart ugovor i dobivajući aBNBc kao dokaz uloga.
U potrazi za tragom aBNBc novca
Prema Lookonchain, napadač je ukrao ključeve od Ankr deployera i iskovao 10 trilijuna aBNBc koje je poslao sebi. Kasnije je prebacio 1.125 BNB na adresu za naknadu za gorivo i počeo bacati ukradene tokene.
Napadač je ponovno iskoristio ugovor i iskovao još 10 trilijuna tokena. Nakon eksploatacija, napadač je počeo ispirati novac u BNB i Ethereum preko Tornado casha.
Tornado Cash je decentralizirani pametni ugovor otvorenog koda koji pruža uslugu pranja 'zaraženih' sredstava kriptovaluta s drugima kako bi se prikrio izvor sredstava.
Napadač je ukradena sredstva prebacio i na Helio Money; koristeći sredstva kao kolateral, posudio je 16 milijuna dolara HAY koje je kasnije prodao za 15.5 milijuna dolara. Napadač je ponovio slične transakcije s $HAY prodanim za BNB u više navrata.
Analiza iskorištavanja HAY-a od 16 milijuna dolara od strane Lookonchaina.
Sigurnosna tvrtka Peckshield otkrila je da Ankr ugovor ima grešku u funkciji kovanja. Potpis funkcije w/ 0x3b3a5522 ugrađen u ugovor mogao bi zaobići funkciju OnlyMinter i imati proizvoljan mint.
Peckshield je također primijetio da su napadači premostili sredstva preko Celera i de BridgeGatea na Ethereum i Tornado cash.
Ankr je reagirao na Twitteru priznajući hakiranje i brzo obavijestio burze da zaustave trgovanje tokenima. Oni savjetovan njihovu zajednicu kako bi izbjegli trgovanje tokenima, povukli likvidnost s razmjena i naveli izdavanje novih tokena. Taj potez bi ukradene žetone učinio bezvrijednim.
Peckshield je primijetio višestruke iskorištavanja iz funkcije kovnice novca.
Napadači su i dalje vrlo aktivni; blockchain statistika također ukazuje na izrabljivače izgorio milijarde tokena.
Prema Peckshieldu neki izrabljivači prebačen USDC i BUSD isprani od exploit-a do Binance razmjena. Oprana sredstva u Binance ukupno iznose oko 19 milijuna dolara.
Izvršni direktor Binancea Changoeng Zhao (CZ) ranije je priznao eksploatacije, ističući da su sredstva od 3 milijuna dolara koja su eksploatatori premjestili na Binance zamrznuta uz pauziranje povlačenja. Napomenuo je da je eksploatator uspio ukrasti privatne ključeve ugovora.
Utjecaj iskorištavanja protokola Ankr
U 2:00 GMT, cijene aBNBc-a pale su 99% nakon eksploatacije. Trgovanje je do sada bilo pauzirano na raznim burzama dok Ankr tim radi na rješavanju problema i povratu novca pogođenim trgovcima.
Eksploatacija je utjecala na HAY, stablecoin, i pao je za 35% u zadnja 24 sata i trguje se po 0.6434 USD. Na vrhuncu je pao na 0.2113 dolara.
Ankr se trguje po 0.02168 dolara, što je pad od 3.93 u posljednja 24 sata. BNB je ostao relativno stabilan i trguje se po 290.4 USD.
Kako se situacija bude razvijala, možemo očekivati kontinuirana ažuriranja uključenih strana. Binance i Ankr su vrući u slučaju; Binance će vjerojatno zamrznuti sredstva prebačena na njihovu burzu, dok će analitičari ukradena sredstva namijeniti za praćenje.
Ankr protokol pridružuje se nizu drugih defi eksploatiše 2022. Prema an analiza napravio Chainalysis, broj iskorištavanja DeFi-ja u 2022. rekordno je visok što je do sada potrošilo više od 800 milijuna dolara ulagačkih sredstava.
Izvor: https://www.cryptopolitan.com/ankr-protocol-exploited-trillions-of-abnbc/