S fokusom kripto industrije na fijasko FTX-a, DeFi hakeri su se zabavljali, napadajući Ankr i, prema dostupnim informacijama, ukrali 5 milijuna dolara.
Hakeri su uspjeli iskoristiti neograničenu grešku u kovanju. Protokol DeFi izjavio je da surađuje s burzama kako bi ublažio utjecaj hakiranja.
Ankr postaje žrtva iskorištavanja
Ankr, protokol za decentralizirano financiranje (DeFi) koji se temelji na BNB lancu, potvrdio je da je postao žrtva višemilijunskog iskorištavanja. Napad se dogodio 1. prosinca, a otkrio ga je on-chain sigurnosni analitičar PeckShield 2. prosinca. Ankr je ubrzo nakon toga potvrdio razvoj događaja, navodeći na Twitteru da su hakeri uspjeli iskoristiti aBNB token. Također su objavili da rade s burzama na zaustavljanju trgovanja dotičnim tokenom.
"Naš aBNB token je iskorišten i trenutno radimo s burzama kako bismo odmah zaustavili trgovanje."
Pojedinosti o hakiranju
Prema dostupnim detaljima, haker je uspio iskovati 20 trilijuna Ankr Reward Bearing Staked BNB (aBNBc) zahvaljujući ranjivosti u pametnom ugovoru za token.
“Naša analiza pokazuje da ugovor o tokenu $aBNBc ima neograničenu pogrešku. Konkretno, dok je mint() zaštićen modifikatorom onlyMinter, postoji još jedna funkcija (s potpisom funkcije 0x3b3a5522) koja u potpunosti zaobilazi provjeru pozivatelja da bi imala proizvoljan mint !!!”
PeckShield je izvijestio da je haker prebacio oko 900 BNB, u vrijednosti od oko 253,000 dolara u Tornado Cash. Osim toga, eksploater je također premostio USDC i ETH na Ethereum blockchain. Prema PeckShieldu, haker ima 3000 ETH i oko 500,000 XNUMX USDC.
20 trilijuna aBNBc tokena koje napadač drži čini ih 13. najvećim vlasnikom tokena. ABNBc token je nagradni token za BNB tokene uložene na platformi Ankr.
Ranjivosti koda pametnog ugovora
Sigurnosna tvrtka za blockchain Beosin potvrdila je izvor eksploatacije, navodeći da je to vjerojatno zbog ranjivosti u kodu pametnog ugovora, zajedno s kompromitiranim privatnim ključevima. Prema Beosinu, te su ranjivosti mogle proizaći iz tehničke nadogradnje koju je izvršio Ankr.
“@ankr je iskorišten. $aBNBc je pao -99.5%. Haker je iskovao tone $aBNBc i zaradio 5,500 BNB (~1.6 milijuna dolara). Instalator je promijenio ugovor o implementaciji na ranjivu adresu ugovora prije napada (vjerojatno zbog kompromitacije privatnog ključa)."
Glasnogovornik zaštitarske tvrtke izjavio je,
"Moguće je da je privatni ključ implementatora bio izložen u ovoj nadogradnji, što je dovelo do toga da napadač koristi privilegije implementatora za izmjenu ugovora."
Binance istražuje iskorištavanje
Binance je u objavi od 2. prosinca potvrdio da je njegov tim u suradnji s Ankrom i drugim povezanim stranama te da dalje istražuje slučaj. Također se dodaje da sredstva korisnika Binancea nisu ugrožena.
“Svjesni smo napada usmjerenog na @ankr-ov aBNBc token. Naš tim u suradnji s relevantnim stranama i @BNBCHAIN-om radi na daljnjoj istrazi. Ovo nije napad na #Binance, a vaša su sredstva SAFU na našoj burzi. Ova nit će se ažurirati ako bude bilo kakvih ažuriranja.”
Pad cijena ANKR i BNB
Kao rezultat razvoja događaja, i ANKR i BNB su zabilježili značajan pad cijene. U trenutku kada je vijest o eksploataciji objavljena, ANKR token je pao za oko 6.6%, pa na 0.0211 USD. Međutim, od tada se oporavio i trenutno se trguje po 0.0216 USD. Token je već pao preko 90% u odnosu na svoju najveću vrijednost svih vremena od 0.213 USD. BNB token je također pao, pao je za 3.1%. Međutim, ovaj pad pripisan je širem padu na kripto tržištima.
DeFi hakiranja drastično su porasla u proteklih nekoliko mjeseci, a listopad je postao najgori mjesec u povijesti DeFi-ja. Nekoliko DeFi protokola, kao što je Ethereum usluga budilice, Polygon's Quick Swap, Tržišta manga, i drugi, postali su žrtve iskorištavanja.
Izjava o odricanju odgovornosti: Ovaj je članak dostupan samo u informativne svrhe. Ne nudi se niti se namjerava koristiti kao pravni, porezni, investicijski, financijski ili drugi savjet.
Izvor: https://cryptodaily.co.uk/2022/12/defi-protocol-ankr-hit-by-multi-million-dollar-exploit