Sa fokusom kripto industrije na FTX fijasko, DeFi hakeri su se veselili, pogodili Ankr, i prema dostupnim informacijama, ukrali 5 miliona dolara.
Hakeri su bili u mogućnosti da iskoriste neograničenu grešku kovanja. DeFi protokol je naveo da radi sa berzama na ublažavanju uticaja hakovanja.
Ankr pada kao žrtva eksploatacije
Ankr, protokol decentralizovanih finansija (DeFi) zasnovan na lancu BNB-a, potvrdio je da je postao žrtva višemilionskog eksploatacije. Napad se dogodio 1. decembra, a otkrio ga je analitičar sigurnosti na lancu PeckShield 2. decembra. Ankr je ubrzo nakon toga potvrdio razvoj događaja, navodeći na Twitteru da su hakeri uspjeli da iskoriste aBNB token. Također su objavili da rade sa berzama na zaustavljanju trgovanja dotičnim tokenom.
“Naš aBNB token je iskorišten i trenutno radimo s berzama kako bismo odmah zaustavili trgovanje.”
Detalji hakovanja
Prema dostupnim detaljima, haker je bio u mogućnosti da iskova 20 triliona Ankr Reward Bearing Staked BNB (aBNBc) zahvaljujući ranjivosti u pametnom ugovoru za token.
“Naša analiza pokazuje da ugovor o tokenu $aBNBc ima neograničen mint bug. Konkretno, dok je mint() zaštićen modifikatorom onlyMinter, postoji još jedna funkcija (w/ 0x3b3a5522 func. signature) koja u potpunosti zaobilazi verifikaciju pozivaoca da bi imala proizvoljan mint !!!”
PeckShield je objavio da je haker prebacio oko 900 BNB, u vrijednosti od oko 253,000 dolara u Tornado Cash. Osim toga, eksploatator je također premostio USDC i ETH na Ethereum blockchain. Prema PeckShield-u, haker drži 3000 ETH i oko 500,000 XNUMX USDC.
20 triliona aBNBc tokena koje drži napadač čini ih 13. najvećim vlasnikom tokena. ABNBc token je token koji donosi nagradu za BNB tokene uložene na Ankr platformu.
Ranjivosti koda pametnog ugovora
Blockchain bezbednosna firma Beosin potvrdila je izvor eksploatacije, navodeći da je verovatno zbog ranjivosti koda pametnog ugovora, zajedno sa kompromitovanim privatnim ključevima. Prema Beosinovim rečima, ove ranjivosti su mogle da proisteknu iz tehničke nadogradnje koju je sproveo Ankr.
“@ankr je iskorišćen. $aBNBc je pao -99.5%. Haker je iskovao tone aBNBc i ostvario profit od 5,500 BNB (~1.6 miliona dolara). Deployer je promijenio ugovor o implementaciji na ranjivu adresu ugovora prije napada (vjerovatno zbog kompromitacije privatnog ključa).“
Portparol sigurnosne firme je izjavio,
„Moguće je da je privatni ključ deployera bio izložen u ovoj nadogradnji, što je dovelo do toga da napadač koristi privilegije deployera za izmjenu ugovora.”
Binance istražuje eksploataciju
Binance je u objavi od 2. decembra potvrdio da je njegov tim bio u angažmanu s Ankrom i drugim povezanim stranama i da dalje istražuje stvar. Također se dodaje da nijedna korisnička sredstva Binance nisu ugrožena.
“Svjesni smo napada usmjerenog na @ankrov aBNBc token. Naš tim je angažiran sa relevantnim stranama i @BNBCHAIN-om da dalje istraži. Ovo nije napad na #Binance, a vaša sredstva su SAFU na našoj burzi. Ova tema će biti ažurirana ukoliko bude bilo kakvih ažuriranja.”
Pad cijena ANKR i BNB
Kao rezultat razvoja događaja, i ANKR i BNB su zabilježile značajan pad cijena. U trenutku kada su se pojavile vijesti o eksploataciji, ANKR token je pao za oko 6.6%, pao na 0.0211 dolara. Međutim, od tada se oporavila i trenutno se trguje po cijeni od 0.0216 dolara. Token je već preko 90% u padu u odnosu na svoj rekord od 0.213 dolara. Token BNB je također pao, pao je za 3.1%. Međutim, ovaj pad se pripisuje širem padu na kripto tržištima.
DeFi hakovi su drastično porasli u proteklih nekoliko mjeseci, a oktobar je postao najgori mjesec u istoriji DeFi-ja. Nekoliko DeFi protokola, kao što je Ethereum servis budilnika, Polygon's QuickSwap, Mango Markets, i drugi, postali su žrtve podviga.
Izjava o odricanju odgovornosti: Ovaj članak je samo u informativne svrhe. Nije ponuđen niti je namijenjen da se koristi kao pravni, porezni, investicioni, finansijski ili drugi savjet.
Izvor: https://cryptodaily.co.uk/2022/12/defi-protocol-ankr-hit-by-multi-million-dollar-exploit