Furnizorul descentralizat de infrastructură Web3 Ankr a căutat să-și liniștească comunitatea vineri cu un răspuns inițial la furt de cel puțin 5.5 milioane de dolari de la fondurile de lichiditate ale lanțului BNB și de pe piețele monetare.
Echipa a confirmat că celelalte produse Ankr - inclusiv validatoare, noduri RPC și servicii AppChain - nu au fost afectate. Acest lucru va veni ca o ușurare pentru deținătorii celorlalte instrumente derivate de miză mai mari ale Ankr, în special aETHc - Ankr staked ether - care are o capitalizare de piață de aproximativ 68 de milioane de dolari.
Atacatorul a bătut un total de 60 de trilioane de aBNBc în 6 tranzacții diferite. Hoțul a folosit apoi jetoanele bătute, dar fără suport pentru a scurge lichiditatea din schimburile descentralizate de pe lanțul BNB. După ce s-a întors și a cumpărat aBNBc-ul deprimat, atacatorul a reușit să atace protocolul de împrumut și împrumut Helio retrăgând 16 milioane USD în HAY, moneda stabilă personalizată a protocolului și schimbându-l cu 15.5 milioane USD BUSD, monedele stabile Binance emise de Paxos.
Înainte de exploatare, Helio avea 90 de milioane de dolari în valoare totală blocată, potrivit lui DeFiLlama.
„Hack-urile și exploatările de la actori răi ca acesta sunt o posibilitate nefericită în Web3, chiar și cu toată atenția acordată detaliilor în procesele de securitate – dar am fost bine pregătiți”, a spus co-fondatorul și CEO Chandler Song, în o declarație.
Un „plan de acțiune” recomandat a explicat modul în care utilizatorii aBNBc pot fi compensați printr-un nou token ankrBNB care va fi bătut și aruncat pe aer pe baza unui instantaneu pre-exploatare a datelor în lanț.
În timp ce atacul aparent provine din utilizarea rău intenționată a cheii private pentru implementatorul de contracte inteligente aBNBc, nu este clar exact cum a fost compromisă cheia. Industrie cele mai bune practici necesită portofele cu semnături multiple și timelock-uri pe contracte inteligente actualizabile, pentru a preveni acest tip de atac.
Reprezentanții Ankr nu au răspuns la cererea de comentarii a Blockworks.
Alți furnizori de BNB cu miză lichidă, cum ar fi pSTAKE utilizați semne multiple pentru a proteja contractele sensibile și pentru a restricționa accesul la funcțiile de batere a simbolurilor, în timp ce aplicațiile dapp complet descentralizate, cum ar fi Uniswap pe Ethereum, nu pot fi actualizate deloc.
Întinderea completă a daunelor colaterale nu este încă clară, dar Ankr exprimat intentia pentru a rezolva pierderile suferite de clienții aplicațiilor DeFi conexe.
De exemplu, Ankr va acoperi datoriile neperformante contractate de Protocolul Helio, în așteptarea rezultatului discuțiilor în curs, în conformitate cu contul oficial de Twitter al acestuia din urmă.
Primiți în căsuța dvs. de e-mail cele mai bune știri și informații despre criptomonede ale zilei în fiecare seară. Abonați-vă la buletinul informativ gratuit al Blockworks acum.
Sursa: https://blockworks.co/news/ankr-exploit-causes-collateral-damage