2. decembrī plkst. 12:35 GMT Peckshield atzīmēja ļaunprātīgu izmantošanu, ko veica uzbrucējs Ankr protokols. Ekspluatācija tika veikta ar 20 triljoniem aBNBc atlīdzības žetonu no protokola.
Ankr Reward Bearing Staked BNB (aBNBc) ir atlīdzību nesošs marķieris, kas nozīmē, ka tā daudzums paliek nemainīgs no likmes izdarīšanas brīža. Žetons tiek novērtēts, jo tā izpirkšanas koeficients pieaug atlīdzības uzkrāšanas dēļ.
Ankr palaida marķieri uz Binants ķēde kā šķidrās stīšanas funkcija uz Ankr. Lietotāji nopelnīja procentus, piesaistot savu BNB uz Smart līgumu, un ieguva aBNBc kā pierādījumu par likmi.
Dzenoties pēc aBNBc naudas takas
Saskaņā ar lookonchain, uzbrucējs nozaga atslēgas no Ankr izvietotāja un izkala 10 triljonus aBNBc, ko nosūtīja sev. Vēlāk viņš pārskaitīja 1.125BNB uz adresi, lai samaksātu par gāzi, un sāka izmest nozagtos žetonus.
Uzbrucējs atkal izmantoja līgumu un izkala vēl 10 triljonus žetonu. Pēc ekspluatācijas uzbrucējs sāka mazgāt naudu BNB un Ethereum caur Tornado skaidru naudu.
Tornado Cash ir decentralizēts, atvērtā pirmkoda viedais līgums, kas nodrošina kriptovalūtas līdzekļu “satraipīšanas” pakalpojumus ar citiem, lai aizēnotu līdzekļu avotu.
Uzbrucējs arī pārskaitījis nozagtos līdzekļus Helio Money; Izmantojot līdzekļus kā nodrošinājumu, viņš aizņēmās $ 16 miljonus HAY, ko vēlāk pārdeva par 15.5 miljoniem ASV dolāru. Uzbrucējs vairākas reizes atkārtoja līdzīgus darījumus ar $HAY, kas tika pārdots par BNB.
16 miljonu ASV dolāru HAY izmantošanas analīze, ko veica Lookonchain.
Apsardzes firma Peckshield atklāja, ka Ankr līgumam bija kļūda tā kalšanas funkcijā. Līgumā iegultais funkcijas paraksts ar 0x3b3a5522 var apiet OnlyMinter funkciju un radīt patvaļīgu veidni.
Peckshield arī atzīmēja, ka uzbrucēji, izmantojot Celer un de BridgeGate, ir pārveduši līdzekļus uz Ethereum un Tornado naudu.
Ankr reaģēja uz Twitter, atzīstot uzlaušanu un ātri paziņoja biržām, lai apturētu žetonu tirdzniecību. Viņi ieteicams viņu kopienai, lai izvairītos no žetonu tirdzniecības, izņemtu likviditāti no biržām, un minēja jaunu Tokenu izdošanu. Šāda kustība padarītu nozagtos žetonus bezvērtīgus.
Peckshield atzīmēja vairākus naudas kaltuves funkcijas izmantojumus.
Uzbrucēji joprojām ir ļoti aktīvi; blockchain statistika norāda arī izmantotājus sadedzināta miljardiem žetonu.
Saskaņā ar Peckshield, daži ekspluatētāji nodots USDC, un BUSD mazgāti no izmantot uz Binants maiņa. Binance izskalotie līdzekļi ir aptuveni 19 miljoni USD.
Avots: https://www.cryptopolitan.com/ankr-protocol-exploited-trillions-of-abnbc/