Доставчикът на децентрализирана Web3 инфраструктура Ankr се опита да успокои своята общност в петък с първоначален отговор на кражба на най-малко 5.5 милиона долара от ликвидни пулове и парични пазари по веригата на БНБ.
Екипът потвърди, че другите продукти на Ankr – включително валидатори, RPC възли и AppChain услуги – не са засегнати. Това ще дойде като облекчение за притежателите на други по-големи деривати на залагане на Ankr, особено aETHc — Ankr заложен етер — който носи пазарна капитализация от около $68 милиона.
Нападателят изсече общо 60 трилиона aBNBc в 6 различни транзакции. След това крадецът използва изсечените, но необезпечени токени, за да източи ликвидност от децентрализирани борси във веригата BNB. След като се обърна и купи депресирания aBNBc, нападателят успя да нахлуе в протокола за заемане и заемане Helio, като изтегли $16 милиона в HAY, персонализираната стабилна монета на протокола и я размени за $15.5 милиона BUSD, стабилната монета на Binance, емитирана от Paxos.
Преди експлойта Хелио имаше 90 милиона долара заключена обща стойност, според DeFiLlama.
„Хакове и експлойти от лоши актьори като този са неприятна възможност в Web3, дори и при всяко внимание към детайлите в процесите на сигурност – но ние бяхме добре подготвени“, каза съоснователят и главен изпълнителен директор Чандлър Сонг в декларация.
Препоръчителен „план за действие“ обяснява как потребителите на aBNBc могат да бъдат компенсирани чрез нов токен ankrBNB, който ще бъде изсечен и пуснат въз основа на моментна снимка преди експлойт на данни във веригата.
Въпреки че атаката очевидно произтича от злонамерено използване на частния ключ за интелигентния договор за внедряване на aBNBc, не е ясно как точно е бил компрометиран ключът. Индустрия най-добрите практики изискват мултисигнатурни портфейли и времеви блокировки на интелигентни договори с възможност за надграждане, за предотвратяване на този тип атака.
Представители на Ankr не отговориха на искането на Blockworks за коментар.
Други доставчици на BNB с ликвидни залози, като pSTAKE използвайте мултисиг за защита на чувствителни договори и ограничаване на достъпа до функциите за сечене на токени, докато напълно децентрализираните приложения като Uniswap на Ethereum изобщо не могат да се надстройват.
Пълният размер на страничните щети все още не е ясен, но Ankr изразил намерението за разрешаване на загуби, понесени от клиенти на свързани DeFi dapps.
Например Ankr ще покрие лош дълг, възникнал от Helio Protocol, в очакване на резултата от текущите дискусии, според официалния акаунт на последния в Twitter.
Получавайте най-важните крипто новини и прозрения за деня във входящата си поща всяка вечер. Абонирайте се за безплатния бюлетин на Blockworks сега.
Източник: https://blockworks.co/news/ankr-exploit-causes-collateral-damage