Protokol DeFi Ankr zasažen exploitem v řádu milionů dolarů

Se zaměřením kryptoprůmyslu na fiasko FTX se hackeři DeFi radovali, zasáhli Ankr a podle dostupných informací ukradli 5 milionů dolarů.

Hackeři dokázali využít neomezenou chybu v ražbě. Protokol DeFi uvedl, že spolupracuje s burzami na zmírnění dopadu hacku. 

Ankr se stal obětí zneužití 

Ankr, protokol decentralizovaných financí (DeFi) založený na BNB Chain, potvrdil, že se stal obětí mnohamilionového zneužití. K útoku došlo 1. prosince a 2. prosince jej objevil bezpečnostní analytik PeckShield. Ankr potvrdil vývoj krátce poté a na Twitteru uvedl, že se hackerům podařilo zneužít token aBNB. Oznámili také, že spolupracují s burzami na zastavení obchodování s dotyčným tokenem. 

"Náš token aBNB byl zneužit a v současné době pracujeme s burzami na okamžitém zastavení obchodování."

Podrobnosti o hacku 

Podle dostupných podrobností dokázal hacker vyrazit 20 bilionů Ankr Reward Bearing Staked BNB (aBNBc) díky zranitelnosti v chytré smlouvě na token.

„Naše analýza ukazuje, že smlouva o tokenu $aBNBc má neomezenou chybu mincovny. Konkrétně, zatímco mint() je chráněno modifikátorem onlyMinter, existuje další funkce (s funkčním podpisem 0x3b3a5522), která zcela obchází ověření volajícího a má libovolnou mint!!!“

PeckShield oznámil, že hacker převedl asi 900 BNB v hodnotě asi 253,000 3000 $ do Tornado Cash. Kromě toho exploiter také přemostil USDC a ETH do blockchainu Ethereum. Podle PeckShield má hacker v držení 500,000 ETH a přibližně XNUMX XNUMX USDC. 

20 bilionů tokenů aBNBc, které útočník drží, z nich dělá 13. největšího držitele tokenu. Token aBNBc je token s odměnou pro tokeny BNB vsazené na platformě Ankr. 

Chyby v kódu Smart Contract Code 

Blockchain bezpečnostní firma Beosin potvrdila zdroj zneužití a uvedla, že to bylo pravděpodobně kvůli zranitelnosti v kódu inteligentní smlouvy spolu s kompromitovanými soukromými klíči. Podle Beosina mohly tyto zranitelnosti vyplynout z technického upgradu provedeného společností Ankr. 

„@ankr byl zneužit. $aBNBc klesl o -99.5%. Hacker vytěžil tuny $aBNBc a dosáhl zisku 5,500 BNB (~1.6 milionu $). Nasazovač před útokem změnil implementační smlouvu na zranitelnou smluvní adresu (pravděpodobně kvůli kompromitaci soukromého klíče).

Uvedl to mluvčí bezpečnostní firmy.

"Je možné, že při tomto upgradu byl odhalen privátní klíč nasazovatele, což vedlo k tomu, že útočník použil oprávnění pro nasazení k úpravě smlouvy." 

Binance vyšetřuje The Exploit 

Binance v příspěvku ze dne 2. prosince potvrdila, že její tým jednal s Ankrem a dalšími spřízněnými stranami a záležitost dále prošetřuje. Rovněž dodal, že žádné uživatelské prostředky Binance nebyly ohroženy. 

„Jsme si vědomi útoku zaměřeného na token aBNBc @ankr. Náš tým spolupracuje s příslušnými stranami a @BNBCHAIN, aby dále prošetřil. Toto není útok proti #Binance a vaše prostředky jsou SAFU na naší burze. Toto vlákno bude aktualizováno, pokud budou nějaké aktualizace."

Pokles cen ANKR a BNB 

V důsledku tohoto vývoje zaznamenaly ANKR i BNB značný pokles ceny. V době, kdy se objevily zprávy o exploitu, klesl token ANKR o 6.6 % na 0.0211 $. Od té doby se však zotavil a aktuálně se obchoduje za 0.0216 USD. Token je již o více než 90 % nižší ze svého historického maxima 0.213 $. Klesl i token BNB, který klesl o 3.1 %. Tento pokles byl však připsán širšímu poklesu na krypto trzích. 

Počet hacků DeFi za posledních pár měsíců drasticky vzrostl, přičemž říjen se stal nejhorším měsícem v historii DeFi. Několik protokolů DeFi, jako je např Služba Ethereum Budík, Rychlá výměna Polygonu, Mangové trhy, a další, se stali obětí exploitů.

Zřeknutí se odpovědnosti: Tento článek je poskytován pouze pro informační účely. Není nabízeno ani zamýšleno k použití jako právní, daňové, investiční, finanční nebo jiné poradenství.