У сувязі з тым, што крыптаіндустрыя засяродзілася на фіяска FTX, хакеры DeFi весяліліся, наносячы ўдары па Ankr і, паводле наяўнай інфармацыі, скралі 5 мільёнаў долараў.
Хакеры змаглі выкарыстаць неабмежаваную памылку чаканкі. Пратакол DeFi заявіў, што працуе з біржамі, каб змякчыць наступствы ўзлому.
Ankr становіцца ахвярай эксплуатацыі
Ankr, пратакол дэцэнтралізаванага фінансавання (DeFi), заснаваны на BNB Chain, пацвердзіў, што стаў ахвярай шматмільённага эксплойта. Атака адбылася 1 снежня і была выяўлена аналітыкам па бяспецы ў ланцужку PeckShield 2 снежня. Неўзабаве Ankr пацвердзіў развіццё падзей, заявіўшы ў Twitter, што хакерам удалося выкарыстаць токен aBNB. Яны таксама абвясцілі, што працуюць з біржамі, каб спыніць гандаль разгляданым токенам.
«Наш токен aBNB быў выкарыстаны, і зараз мы працуем з біржамі, каб неадкладна спыніць гандаль».
Дэталі ўзлому
Згодна з наяўнымі дадзенымі, хакер змог адчаканіць 20 трыльёнаў Ankr Reward Bearing Staked BNB (aBNBc) дзякуючы ўразлівасці ў смарт-кантракце для токена.
«Наш аналіз паказвае, што кантракт на токен $aBNBc мае неабмежаваную памылку. У прыватнасці, у той час як mint() абаронены мадыфікатарам onlyMinter, ёсць іншая функцыя (з подпісам 0x3b3a5522 func.), якая цалкам абыходзіць праверку абанента, каб мець адвольны mint !!!»
PeckShield паведаміў, што хакер перавёў каля 900 BNB на суму каля 253,000 3000 долараў у Tornado Cash. Акрамя таго, эксплуататар таксама звязаў USDC і ETH з блокчейном Ethereum. Па дадзеных PeckShield, у хакера 500,000 ETH і каля XNUMX XNUMX USDC.
20 трыльёнаў токенаў aBNBc, якімі валодае зламыснік, робяць яго 13-м па велічыні ўладальнікам токена. Токен aBNBc - гэта токен, які прыносіць узнагароду для токенаў BNB, зробленых на платформе Ankr.
Уразлівасці ў Кодэксе смарт-кантрактаў
Фірма па бяспецы блокчэйнаў Beosin пацвердзіла крыніцу эксплойта, заявіўшы, што гэта, верагодна, звязана з уразлівасцямі ў кодзе смарт-кантракту, а таксама са скампраметаванымі прыватнымі ключамі. Па словах Беосіна, гэтыя ўразлівасці маглі з'явіцца ў выніку тэхнічнай мадэрнізацыі, праведзенай Ankr.
«@ankr быў выкарыстаны. $aBNBc знізіўся на -99.5%. Хакер адчаканіў тоны $aBNBc і атрымаў прыбытак у 5,500 BNB (~1.6 мільёна долараў). Распрацоўшчык змяніў кантракт на рэалізацыю на ўразлівы адрас кантракта перад атакай (магчыма, з-за ўзлому прыватнага ключа)».
Прадстаўнік ахоўнай фірмы заявіў,
«Магчыма, што прыватны ключ разгортвальніка быў адкрыты ў гэтым абнаўленні, што прывяло да таго, што зламыснік выкарыстаў прывілеі разгортвальніка, каб змяніць кантракт».
Binance расследуе эксплойт
Binance ў паведамленні ад 2 снежня пацвердзіла, што яго каманда ўзаемадзейнічае з Ankr і іншымі звязанымі бакамі і працягвае расследаванне гэтага пытання. Ён таксама дадаў, што сродкі карыстальнікаў Binance не знаходзяцца пад пагрозай.
«Нам вядома пра атаку, накіраваную на токен aBNBc @ankr. Наша каманда супрацоўнічае з адпаведнымі бакамі і @BNBCHAIN для далейшага расследавання. Гэта не атака на #Binance, і вашы сродкі з'яўляюцца SAFU на нашай біржы. Гэты паток будзе абнаўляцца, калі будуць якія-небудзь абнаўленні».
Зніжэнне коштаў на ANKR і BNB
У выніку падзей і ANKR, і BNB адчулі значнае падзенне коштаў. У той час, калі з'явіліся навіны пра эксплойт, токен ANKR знізіўся прыкладна на 6.6%, апусціўшыся да 0.0211 даляра. Аднак з тых часоў ён аднавіўся і ў цяперашні час гандлюецца на ўзроўні 0.0216 даляра. Токен ужо знізіўся больш чым на 90% ад свайго гістарычнага максімуму ў 0.213 даляра. Токен BNB таксама знізіўся, упаў на 3.1%. Аднак гэта падзенне было звязана з больш шырокім падзеннем крыпта-рынкаў.
За апошнія пару месяцаў узломы DeFi рэзка павялічыліся, і кастрычнік стаў горшым месяцам у гісторыі DeFi. Некалькі пратаколаў DeFi, такіх як Служба будзільніка Ethereum, QuickSwap ад Polygon, Рынкі манга, і іншыя, сталі ахвярамі подзвігаў.
Адмова: Гэты артыкул прадастаўлены толькі ў інфармацыйных мэтах. Ён не прапануецца і не прызначаны для выкарыстання ў якасці юрыдычнай, падатковай, інвестыцыйнай, фінансавай ці іншай кансультацыі.
Крыніца: https://cryptodaily.co.uk/2022/12/defi-protocol-ankr-hit-by-multi-million-dollar-exploit