Etter gårsdagens bekreftede utnyttelse på flere millioner dollar, tok den BNB Chain-baserte protokollen Ankr til sin firmablogg 2. desember til relé sine neste skritt til brukerne.
Teamet sa at de identifiserte likviditetsleverandører til desentraliserte børser samt protokoller som støtter aBNBc eller aBNBb LP. Gruppen sa også at den vurderer aBNBc-sikkerhetspooler, som Midas og Helio. I følge innlegget har Ankr til hensikt å kjøpe BNB for 5 millioner dollar, som de vil bruke til å kompensere likviditetsleverandører som er berørt av utnyttelsen.
Noen brukere handlet spekulativt fortynnet aBNBc etter at utnyttelsen også hadde skjedd, men selskapet indikerte at disse handelsmennene ikke vil bli inkludert i protokollens kompensasjonstiltak som sier, "vi er bare i stand til å kompensere LPs som ble tatt på vakt av hendelsen."
Oppdatering om aBNB Token Exploit:
Vi er takknemlige for fellesskapet vårt av DEX-er, utvekslinger og protokoller som alle hjalp oss med å avslutte utnyttelsen raskt.
Vi vil bruke reserver for å kompensere likviditetstilbydere for aBNBc-poolene.https://t.co/B2yNWBAQdX
- Ankr (@ankr) Desember 2, 2022
Utviklerne ga en kort forklaring på hvordan hacket skjedde. En ondsinnet aktør fikk tilgang til teamets «deployer-nøkkel» eller nøkkelen som opprinnelig ble brukt til å distribuere protokollens smarte kontrakter. Siden kontraktene er oppgraderbare, tillot dette angriperen å distribuere en helt ny versjon av en av kontraktene, noe som ga dem muligheten til å prege et ubegrenset antall mynter "uten autorisasjonssjekker."
Etter å ha fått denne makten sa teamet at angriperen preget 60 billioner aBNBb-tokens «ut av løse luften». Disse ble byttet til USDC og flyttet ut av nettverket gjennom broer til Ethereum.
Som svar overførte teamet først eierskapet til kontraktene til en ny, kompromissløs konto. Dette sikret kontraktene, og forhindret angriperen i å gjøre ytterligere skade. Ankrs validatorer, RPC API og App Chain-tjenester ble ikke kompromittert, så overføring av eierskap til kontraktene var den eneste handlingen som var nødvendig for å gjenopprette sikkerheten.
Deretter varslet Ankr alle DEX-er om ikke å tillate handel med aBNBc eller aBNBb, og den går for tiden gjennom prosessen med å identifisere likviditetsleverandører for disse tokenene, for eksempel de som leverer tokenet til Helios og Midas.
Blogginnlegget understreket at dagens versjoner av aBNBc og aBNBb ikke lenger vil kunne løses inn for BNB. Et øyeblikksbilde vil bli tatt av saldoene som brukerne hadde før utnyttelsen. Nye versjoner av disse tokens vil bli utstedt, og token-innehavere vil bli kompensert med de nye myntene basert på saldoene de hadde før utnyttelsen. Av denne grunn advarte teamet brukere om ikke å handle aBNBc eller aBNBb.
Ankr nevnte også at den innså at noen brukere har engasjert seg i arbitrasjer for å tjene på utnyttelsen, men disse arbitrasjene vil ikke bli belønnet, da øyeblikksbildet vil bli tatt for tidspunktet og datoen 02. desember 2022, 12:43:18 am UTC . Alle handler utført etter dette tidspunktet vil ikke påvirke innehaverens refusjon.
I tillegg uttalte utviklerne at likviditetstilbydere burde fjerne sine aBNBc- og aBNBb-tokener fra sine likviditetspooler og holde tokenene i lommeboken i stedet.
Kilde: https://cointelegraph.com/news/ankr-says-no-one-should-trade-abnbc-only-lps-caught-off-guard-will-be-compensated