Pružatelj decentralizirane Web3 infrastrukture Ankr pokušao je u petak umiriti svoju zajednicu početnim odgovorom na krađu najmanje 5.5 milijuna dolara iz fondova likvidnosti lanca BNB-a i tržišta novca.
Tim je potvrdio da drugi Ankrovi proizvodi — uključujući validatore, RPC čvorove i AppChain usluge — nisu pogođeni. To će biti olakšanje za vlasnike Ankrovih drugih većih derivata za ulaganje, posebno aETHc — Ankr uloženi eter — koji ima tržišnu kapitalizaciju od oko 68 milijuna dolara.
Napadač je kovao ukupno 60 trilijuna aBNBc kroz 6 različitih transakcija. Lopov je potom upotrijebio iskovane, ali nepokrivene tokene za crpljenje likvidnosti iz decentraliziranih razmjena u BNB lancu. Nakon što se okrenuo i kupio depresivni aBNBc, napadač je uspio upasti u protokol za posuđivanje i posudbu Helio tako što je povukao 16 milijuna dolara u HAY-u, prilagođenom stabilcoinu protokola i zamijenio ga za 15.5 milijuna dolara BUSD, Binance stablecoin koji je izdao Paxos.
Prije eksploatacije, Helio je imao zaključanu ukupnu vrijednost od 90 milijuna dolara, prema DeFiLlama.
"Hakovi i eksploatacije loših aktera poput ovog nesretna su mogućnost u Web3, čak i uz posvećivanje pažnje detaljima u sigurnosnim procesima - ali bili smo dobro pripremljeni", rekao je suosnivač i glavni izvršni direktor Chandler Song u izjava.
Preporučeni "akcijski plan" objasnio je kako se korisnici aBNBc-a mogu kompenzirati putem novog ankrBNB tokena koji će biti iskovan i emitiran na temelju snimke podataka u lancu prije iskorištavanja.
Iako napad očito proizlazi iz zlonamjerne upotrebe privatnog ključa za implementaciju pametnog ugovora aBNBc, nije jasno kako je točno ključ ugrožen. Industrija zahtijevaju najbolje prakse multisignature novčanike i timelocks na nadogradivim pametnim ugovorima, kako bi se spriječio ovaj tip napada.
Predstavnici Ankr-a nisu odgovorili na zahtjev Blockworksa za komentar.
Ostali pružatelji BNB-a s likvidnim ulozima kao što je pSTAKE koristiti multisigs za zaštitu osjetljivih ugovora i ograničavanje pristupa funkcijama kovanja tokena, dok potpuno decentralizirane dappove kao što je Uniswap na Ethereumu uopće nije moguće nadograditi.
Puni razmjeri kolateralne štete još nisu jasni, ali Ankr izrazio namjeru za rješavanje gubitaka koje su pretrpjeli korisnici povezanih DeFi dapps.
Na primjer, Ankr će pokriti loša dugovanja nastala Helio Protocolom, u iščekivanju ishoda tekućih rasprava, prema potonji službeni Twitter račun.
Svake večeri primajte najvažnije dnevne kripto vijesti i uvide u svoju pristiglu poštu. Pretplatite se na Blockworksov besplatni bilten sada.
Izvor: https://blockworks.co/news/ankr-exploit-causes-collateral-damage