Med kryptoindustriens fokus på FTX-fiaskoen, har DeFi-hackere vært glade, slått Ankr, og i henhold til tilgjengelig informasjon stjålet 5 millioner dollar.
Hackere var i stand til å utnytte en ubegrenset myntfeil. DeFi-protokollen uttalte at den jobber med utvekslinger for å dempe hackets innvirkning.
Ankr faller offer for å utnytte
Ankr, en BNB Chain-basert desentralisert finans (DeFi)-protokoll, har bekreftet at den har blitt offer for en utnyttelse på flere millioner dollar. Angrepet skjedde 1. desember og ble oppdaget av sikkerhetsanalytiker PeckShield 2. desember. Ankr bekreftet utviklingen kort tid etter, og uttalte på Twitter at hackere hadde klart å utnytte aBNB-tokenet. De kunngjorde også at de jobbet med børser for å stoppe handelen med det aktuelle tokenet.
"Vårt aBNB-token har blitt utnyttet, og vi jobber for tiden med børser for å umiddelbart stoppe handelen."
Detaljer om hackingen
I følge de tilgjengelige detaljene var hackeren i stand til å prege 20 billioner Ankr Reward Bearing Staked BNB (aBNBc) takket være en sårbarhet i den smarte kontrakten for tokenet.
«Vår analyse viser at $aBNBc-tokenkontrakten har en ubegrenset feil. Spesifikt, mens mint() er beskyttet med onlyMinter-modifikator, er det en annen funksjon (m/ 0x3b3a5522 funksjonssignatur) som fullstendig omgår oppringerverifiseringen for å ha vilkårlig mynt !!!”
PeckShield rapporterte at hackeren hadde overført rundt 900 BNB, verdt rundt $253,000 3000 til Tornado Cash. I tillegg koblet utnytteren også USDC og ETH til Ethereum-blokkjeden. Ifølge PeckShield har hackeren 500,000 ETH og rundt XNUMX XNUMX USDC.
De 20 billioner aBNBc-tokenene som angriperen holder, gjør dem til den 13. største innehaveren av tokenet. aBNBc-tokenet er det belønningsbærende tokenet for BNB-tokens satset på Ankr-plattformen.
Sårbarheter i Smart Contract Code
Blockchain-sikkerhetsfirmaet Beosin bekreftet kilden til utnyttelsen, og uttalte at det sannsynligvis var på grunn av sårbarheter i den smarte kontraktkoden, sammen med kompromitterte private nøkler. Ifølge Beosin kunne disse sårbarhetene ha oppstått fra en teknisk oppgradering utført av Ankr.
"@ankr har blitt utnyttet. $aBNBc har falt -99.5%. Hackeren preget tonnevis av $aBNBc og tjente 5,500 BNB (~1.6 millioner dollar). Utplasseringsgiveren endret implementeringskontrakten til den sårbare kontraktsadressen før angrepet (muligens på grunn av kompromiss med privat nøkkel).
En talsperson for sikkerhetsfirmaet sa,
"Det er mulig at distribusjonsgiverens private nøkkel ble avslørt i denne oppgraderingen, noe som førte til at en angriper brukte distribusjonsprivilegier for å endre kontrakten."
Binance undersøker utnyttelsen
Binance bekreftet i et innlegg 2. desember at teamet deres var engasjert med Ankr og andre relaterte parter og undersøkte saken videre. Den la også til at ingen Binance-brukermidler var i fare.
"Vi er klar over angrepet rettet mot @ankrs aBNBc-token. Teamet vårt er engasjert med de relevante partene og @BNBCHAIN for å undersøke videre. Dette er ikke et angrep mot #Binance, og midlene dine er SAFU på børsen vår. Denne tråden vil bli oppdatert dersom det kommer noen oppdateringer."
ANKR og BNB Prisfall
Som følge av utviklingen fikk både ANKR og BNB et betydelig prisfall. På det tidspunktet nyheten om utnyttelsen brøt, falt ANKR-tokenet rundt 6.6 %, og falt til $0.0211. Imidlertid har den siden kommet seg og handles for tiden til $0.0216. Tokenet er allerede over 90 % ned fra det høyeste rekordet på $0.213. BNB-tokenet falt også, og falt med 3.1 %. Imidlertid ble denne nedgangen tilskrevet en bredere nedgang i kryptomarkedene.
DeFi-hackene hadde økt drastisk de siste par månedene, med oktober som ble den verste måneden i DeFi-historien. Flere DeFi-protokoller, for eksempel Ethereum vekkerklokketjeneste, Polygons QuickSwap, Mangomarkeder, og andre, ble ofre for utnyttelser.
Ansvarsfraskrivelse: Denne artikkelen er kun gitt for informasjonsformål. Det tilbys eller er ikke ment å brukes som juridisk, skatt, investering, økonomisk eller annen rådgivning.
Kilde: https://cryptodaily.co.uk/2022/12/defi-protocol-ankr-hit-by-multi-million-dollar-exploit