Поскольку криптоиндустрия сосредоточилась на фиаско FTX, хакеры DeFi веселились, наносили удары по Ankr и, согласно имеющейся информации, крали 5 миллионов долларов.
Хакеры смогли использовать ошибку неограниченного чеканки. Протокол DeFi заявил, что работает с биржами, чтобы смягчить последствия взлома.
Анкр становится жертвой эксплуатации
Ankr, протокол децентрализованного финансирования (DeFi) на основе сети BNB, подтвердил, что стал жертвой многомиллионного эксплойта. Атака произошла 1 декабря и была обнаружена аналитиком сетевой безопасности PeckShield 2 декабря. Вскоре после этого Ankr подтвердил события, заявив в Твиттере, что хакерам удалось использовать токен aBNB. Они также объявили, что работают с биржами, чтобы остановить торговлю рассматриваемым токеном.
«Наш токен aBNB был взломан, и в настоящее время мы работаем с биржами, чтобы немедленно остановить торговлю».
Детали взлома
Согласно имеющейся информации, хакер смог добыть 20 триллионов Ankr Reward Bearing Staked BNB (aBNBc) благодаря уязвимости в смарт-контракте токена.
«Наш анализ показывает, что контракт токена $aBNBc имеет неограниченную ошибку монетного двора. В частности, несмотря на то, что mint() защищен модификатором onlyMinter, существует еще одна функция (с сигнатурой 0x3b3a5522 func.), которая полностью обходит проверку вызывающей стороны, чтобы иметь произвольный монетный двор !!!»
PeckShield сообщил, что хакер перевел около 900 BNB на сумму около 253,000 3000 долларов в Tornado Cash. Кроме того, эксплуататор также подключил USDC и ETH к блокчейну Ethereum. По данным PeckShield, у хакера есть 500,000 ETH и около XNUMX XNUMX долларов США.
20 триллионов токенов aBNBc, которыми владеет злоумышленник, делают его 13-м по величине держателем токена. Токен aBNBc — это токен, приносящий вознаграждение за токены BNB, размещенные на платформе Ankr.
Уязвимости в коде смарт-контракта
Фирма по безопасности блокчейна Beosin подтвердила источник эксплойта, заявив, что он, вероятно, был связан с уязвимостями в коде смарт-контракта, а также со скомпрометированными закрытыми ключами. По словам Беосина, эти уязвимости могли появиться в результате технического обновления, проведенного Ankr.
«@ankr был взломан. $aBNBc упал на 99.5%. Хакер чеканил тонны $aBNBc и получил прибыль в размере 5,500 BNB (~ 1.6 миллиона долларов). Перед атакой разработчик изменил контракт реализации на адрес уязвимого контракта (возможно, из-за компрометации закрытого ключа)».
Об этом заявил представитель охранной компании.
«Возможно, закрытый ключ установщика был раскрыт в этом обновлении, что привело к тому, что злоумышленник использовал привилегии установщика для изменения контракта».
Binance расследует эксплойт
Binance в сообщении от 2 декабря подтвердила, что ее команда взаимодействует с Ankr и другими связанными сторонами и продолжает расследование этого вопроса. Он также добавил, что никакие средства пользователей Binance не находятся под угрозой.
«Нам известно об атаке, направленной на токен aBNBc @ankr. Наша команда взаимодействует с соответствующими сторонами и @BNBCHAIN для дальнейшего расследования. Это не атака на #Binance, и ваши средства находятся в SAFU на нашей бирже. Эта ветка будет обновляться, если будут какие-либо обновления».
Снижение цен на ANKR и BNB
В результате событий и ANKR, и BNB значительно упали в цене. Когда появились новости об эксплойте, токен ANKR упал примерно на 6.6%, упав до 0.0211 доллара. Однако с тех пор он восстановился и в настоящее время торгуется на уровне 0.0216 доллара. Токен уже более чем на 90% ниже своего исторического максимума в 0.213 доллара. Токен BNB также упал, упав на 3.1%. Однако это снижение было связано с более широким спадом на криптовалютных рынках.
Взломы DeFi резко возросли за последние пару месяцев, а октябрь стал худшим месяцем в истории DeFi. Несколько протоколов DeFi, таких как Служба будильника Ethereum, Быстрая замена полигона, Рынки Mangoи другие, стали жертвами эксплойтов.
Отказ от ответственности: эта статья предназначена только для информационных целей. Он не предлагается и не предназначен для использования в качестве юридических, налоговых, инвестиционных, финансовых или иных советов.
Источник: https://cryptodaily.co.uk/2022/12/defi-protocol-ankr-hit-by-multi-million-dollar-exploit.