Protocolul DeFi Ankr lovit de o exploatare de mai multe milioane de dolari

Cu concentrarea industriei cripto pe fiasco-ul FTX, hackerii DeFi s-au bucurat, au lovit Ankr și, conform informațiilor disponibile, au furat 5 milioane de dolari.

Hackerii au reușit să exploateze un bug de batere nelimitat. Protocolul DeFi a declarat că lucrează cu schimburi pentru a atenua impactul hack-ului. 

Ankr Falls, victimă de exploatat 

Ankr, un protocol de finanțare descentralizată (DeFi) bazat pe lanțul BNB, a confirmat că a căzut victima unui exploit de mai multe milioane de dolari. Atacul a avut loc pe 1 decembrie și a fost descoperit de analistul de securitate pe lanț PeckShield pe 2 decembrie. Ankr a confirmat evoluțiile la scurt timp după, afirmând pe Twitter că hackerii au reușit să exploateze jetonul aBNB. Ei au anunțat, de asemenea, că lucrează cu burse pentru a opri tranzacționarea jetonului în cauză. 

„Tokenul nostru aBNB a fost exploatat și în prezent lucrăm cu burse pentru a opri imediat tranzacționarea.”

Detalii despre hack 

Conform detaliilor disponibile, hackerul a reușit să bată 20 de trilioane Ankr Reward Bearing Staked BNB (aBNBc) datorită unei vulnerabilități din contractul inteligent pentru token.

„Analiza noastră arată că contractul de token $aBNBc are o eroare nelimitată. Mai exact, în timp ce mint() este protejat cu modificatorul onlyMinter, există o altă funcție (cu semnătură func. 0x3b3a5522) care ocolește complet verificarea apelantului pentru a avea mint arbitrar !!!”

PeckShield a raportat că hackerul a transferat în Tornado Cash aproximativ 900 BNB, în valoare de aproximativ 253,000 USD. În plus, exploatatorul a făcut legătura între USDC și ETH cu blockchain-ul Ethereum. Potrivit PeckShield, hackerul deține 3000 ETH și aproximativ 500,000 USDC. 

Cele 20 de trilioane de jetoane aBNBc deținute de atacator îi fac să fie al 13-lea cel mai mare deținător al jetonului. Jetonul aBNBc este jetonul care poartă recompensă pentru jetoanele BNB mizate pe platforma Ankr. 

Vulnerabilități în codul Smart Contract 

Firma de securitate Blockchain Beosin a confirmat sursa exploit-ului, declarând că probabil se datorează vulnerabilităților codului de contract inteligent, împreună cu cheile private compromise. Potrivit lui Beosin, aceste vulnerabilități ar fi putut apărea dintr-o actualizare tehnică efectuată de Ankr. 

„@ankr a fost exploatat. $aBNBc a scăzut cu -99.5%. Hackerul a bătut tone de $aBNBc și a realizat un profit de 5,500 BNB (~1.6 milioane $). Implementatorul a schimbat contractul de implementare la adresa contractului vulnerabil înainte de atac (posibil din cauza compromiterii cheii private).”

Un purtător de cuvânt al firmei de securitate a declarat:

„Este posibil ca cheia privată a implementatorului să fi fost expusă în această actualizare, ceea ce a condus la un atacator să folosească privilegiile implementatorului pentru a modifica contractul.” 

Binance investighează exploatarea 

Binance, într-o postare din 2 decembrie, a confirmat că echipa sa s-a angajat cu Ankr și alte părți afiliate și investighează în continuare chestiunea. De asemenea, a adăugat că niciun fond al utilizatorului Binance nu era în pericol. 

„Suntem conștienți de atacul care vizează simbolul aBNBc al lui @ankr. Echipa noastră este implicată cu părțile relevante și cu @BNBCHAIN ​​pentru a investiga în continuare. Acesta nu este un atac împotriva #Binance, iar fondurile dvs. sunt SAFU pe bursa noastră. Acest thread va fi actualizat dacă există actualizări.”

Scăderi de preț ANKR și BNB 

Ca urmare a evoluțiilor, atât ANKR, cât și BNB au înregistrat o scădere considerabilă a prețului. În momentul în care a apărut vestea despre exploit, jetonul ANKR a scăzut cu aproximativ 6.6%, scăzând la 0.0211 USD. Cu toate acestea, de atunci și-a revenit și se tranzacționează în prezent la 0.0216 USD. Tokenul este deja cu peste 90% în scădere față de maximul său istoric de 0.213 USD. Tokenul BNB a scăzut și el, scăzând cu 3.1%. Cu toate acestea, această scădere a fost atribuită unui declin mai amplu al piețelor cripto. 

Hackurile DeFi au crescut drastic în ultimele două luni, octombrie devenind cea mai proastă lună din istoria DeFi. Mai multe protocoale DeFi, cum ar fi Serviciul de ceas cu alarmă Ethereum, QuickSwap din Polygon, Piețele de mango, și alții, au căzut victime ale exploatărilor.

Declinare de responsabilitate: Acest articol este furnizat doar în scop informativ. Nu este oferit sau intenționat să fie folosit ca sfaturi juridice, fiscale, de investiții, financiare sau de altă natură.