Протоколът DeFi Ankr е ударен от експлойт за много милиони долари

С фокуса на крипто индустрията върху фиаското на FTX, хакерите на DeFi се забавляваха, удряха Ankr и според наличната информация откраднаха 5 милиона долара.

Хакерите успяха да се възползват от неограничен бъг при копаене. Протоколът DeFi заяви, че работи с борси, за да смекчи въздействието на хака. 

Ankr става жертва на експлоатация 

Ankr, базиран на BNB Chain протокол за децентрализирано финансиране (DeFi), потвърди, че е станал жертва на многомилионен експлойт. Атаката се случи на 1 декември и беше открита от анализатора по сигурността във веригата PeckShield на 2 декември. Ankr потвърди развитието малко след това, заявявайки в Twitter, че хакерите са успели да експлоатират токена на aBNB. Те също така обявиха, че работят с борсите, за да спрат търговията с въпросния токен. 

„Нашият aBNB токен е бил експлоатиран и в момента работим с борси, за да спрем незабавно търговията.“

Подробности за хакването 

Според наличните подробности хакерът е успял да изсече 20 трилиона Ankr Reward Bearing Staked BNB (aBNBc) благодарение на уязвимост в интелигентния договор за токена.

„Нашият анализ показва, че договорът за токен $aBNBc има неограничен бъг. По-конкретно, докато mint() е защитен с модификатор onlyMinter, има друга функция (с 0x3b3a5522 func. signature), която напълно заобикаля проверката на обаждащия се, за да има произволен mint !!!”

PeckShield съобщи, че хакерът е прехвърлил около 900 BNB на стойност около $253,000 3000 в Tornado Cash. Освен това, експлоататорът също свърза USDC и ETH с блокчейна Ethereum. Според PeckShield хакерът притежава 500,000 ETH и около XNUMX XNUMX USDC. 

20-те трилиона aBNBc токена, държани от нападателя, го правят 13-ият по големина притежател на токена. Токенът aBNBc е токенът, носещ награда за токени BNB, заложени на платформата Ankr. 

Уязвимости в кода на интелигентния договор 

Фирмата за сигурност на блокчейн Beosin потвърди източника на експлойта, заявявайки, че вероятно се дължи на уязвимости в кода на интелигентния договор, заедно с компрометирани частни ключове. Според Beosin, тези уязвимости биха могли да се появят от техническо надграждане, извършено от Ankr. 

„@ankr е експлоатиран. $aBNBc спадна с -99.5%. Хакерът изсече тонове $aBNBc и реализира печалба от 5,500 BNB (~1.6 милиона долара). Внедрителят промени договора за изпълнение на уязвимия адрес на договора преди атаката (вероятно поради компрометиране на частен ключ).“

Говорител на охранителната фирма заяви,

„Възможно е частният ключ на инсталатора да е бил разкрит при това надграждане, което да доведе до нападател, използващ привилегиите на инсталатора, за да промени договора.“ 

Binance разследва експлойта 

Binance, в публикация от 2 декември, потвърди, че неговият екип е ангажиран с Ankr и други свързани страни и проучва допълнително въпроса. Той също така добави, че никакви потребителски средства на Binance не са изложени на риск. 

„Наясно сме с атаката, насочена към aBNBc токена на @ankr. Нашият екип е ангажиран със съответните страни и @BNBCHAIN ​​за по-нататъшно разследване. Това не е атака срещу #Binance и вашите средства са SAFU на нашата борса. Тази тема ще бъде актуализирана, ако има някакви актуализации.

ANKR и BNB намаляват цените 

В резултат на развитието както ANKR, така и BNB отбелязаха значителен спад в цената. По времето, когато новината за експлойта избухна, токенът ANKR падна с около 6.6%, падайки до $0.0211. Оттогава обаче се възстанови и в момента се търгува на $0.0216. Токенът вече е с над 90% спад от най-високата си стойност за всички времена от $0.213. Токенът на BNB също се понижи, падайки с 3.1%. Този спад обаче се дължи на по-широк спад на крипто пазарите. 

Хаковете на DeFi се увеличиха драстично през последните няколко месеца, като октомври се превърна в най-лошия месец в историята на DeFi. Няколко DeFi протокола, като например Услуга за будилник на Ethereum, QuickSwap на Polygon, Пазари на манго, и други, станаха жертва на подвизи.

Отказ от отговорност: Тази статия е предоставена само с информационна цел. Той не се предлага или е предназначен да се използва като правен, данъчен, инвестиционен, финансов или друг съвет.