Новый месяц, новый взлом DeFi! Хотя ситуация и то, что произошло, остаются неясными, похоже, что хакер воспользовался децентрализованным финансовым протоколом Ankr.
Как заявил несколько часов назад генеральный директор Binance Чанпэн Чжао (Чехия), возможны взломы Ankr и Hay. Согласно первоначальному анализу, закрытый ключ разработчика был взломан, что позволило злоумышленнику манипулировать смарт-контрактом Ankr.
Компания по безопасности блокчейна PeckShield заявил через твиттер:
Наш анализ показывает, что контракт токена $aBNBc имеет неограниченную ошибку монетного двора. В частности, несмотря на то, что mint() защищен модификатором onlyMinter, существует еще одна функция (с сигнатурой 0x3b3a5522 func.), которая полностью обходит проверку вызывающей стороны, чтобы иметь произвольный mint !!!
Благодаря этому злоумышленник смог отчеканить 6 квадриллионов токенов aBNBc, которые он конвертировал примерно в 5 миллионов долларов США. CZ сообщил, что Binance приостановил снятие средств несколько часов назад. Также было заморожено около 3 миллионов долларов, которые хакер перевел на Binance.
Возможные взломы на Ankr и Hay. Первоначальный анализ показал, что закрытый ключ разработчика был взломан, и хакер обновил смарт-контракт на более вредоносный. Binance приостановила вывод средств несколько часов назад. Также заморожено около $3 млн, которые хакеры переводят на нашу CEX.
- Чехия 🔶 Binance (@cz_binance) 2 декабря 2022
Хаос не затронул пользователей Binance
Цена токена aBNBc упала почти на 100% с момента эксплойта. Согласно последним сообщениям, злоумышленник уже перевел часть украденных средств в Tornado Cash. По данным охранной компании PeckShield, часть награбленной криптовалюты была переправлена через Celer и deBridgeGate.
Та же компания несколько месяцев назад провела аудит для Ankr, предупредив о «проблеме доверия с ключами администратора», которая давала привилегию чеканке токенов aBNB. Хотя команда Ankr «признала» предупреждение, похоже, они не исправил.
Совсем недавно сеть BNB представила функцию ликвидного стейкинга через Ankr, которая позволяла пользователям получать проценты, назначая токены BNB контракту ликвидного стейкинга и получая aBNBc.
Тем не менее, Binance быстро дал добро, заявив, что команда BNB находится в контакте с пострадавшими сторонами. «Это не атака на #Binance, и ваши средства находятся в SAFU на нашей бирже», — говорится в заявлении в Twitter.
Поскольку хакер почти полностью опустошил пулы ликвидности aBNBc на PancakeSwap и ApeSwap, цена aBNBc упала на 99.5% после эксплуатировать.
Оппортунистический трейдер превратил менее 3 тысяч долларов в 15.5 миллионов долларов
По данным аналитической компании Lookonchain, оппортунистический трейдер приняли воспользовался ситуацией и получил прибыль в размере 15.5 млн BUSD при минимальной ставке в 10 BNB.
После того, как эксплуататор Ankr сбросил aBNBc, трейдер купил 183,885 10 aBNBc всего за 2,879 BNB на сумму 183,885 16 долларов, затем вложил 16 15.5 aBNBc с Helio в качестве залога и занял XNUMX миллионов HAY. В итоге он продал XNUMX миллионов HAY и получил XNUMX миллионов BUSD.
В результате стейблкоин HAY сильно упал. Цена стейблкоина временами падала до 0.21 доллара, но все же ей удалось постепенно восстановиться до 0.61 доллара на момент публикации.
Примечательно, что Binance Labs сделала стратегические инвестиции в Ankr в августе 2022 года. Инвестиции Binance Labs были направлены на то, чтобы помочь Ankr в дальнейшем улучшить Масштабируемость сетей блокчейн.
Возможно, после этих новостей цена BNB упала на 3.1% и торговалась на уровне 290 долларов на момент публикации.
Источник: https://bitcoinist.com/ankr-suffers-exploit-binance-ceo-clarifiers/