Tā kā kriptovalūtu nozare koncentrējas uz FTX fiasko, DeFi hakeri ir izklaidējušies, trāpot Ankr un saskaņā ar pieejamo informāciju nozaguši 5 miljonus USD.
Hakeri varēja izmantot neierobežotu kalšanas kļūdu. DeFi protokolā teikts, ka tas sadarbojas ar apmaiņu, lai mazinātu uzlaušanas ietekmi.
Ankr Falls Victim To Exploit
Ankr, uz BNB ķēdi balstīts decentralizētās finansēšanas (DeFi) protokols, ir apstiprinājis, ka ir kļuvis par vairāku miljonu dolāru izsaimniekošanas upuri. Uzbrukums notika 1. decembrī, un ķēdes drošības analītiķis PeckShield to atklāja 2. decembrī. Ankr neilgi pēc tam apstiprināja notikumus, Twitter paziņojot, ka hakeriem ir izdevies izmantot aBNB marķieri. Viņi arī paziņoja, ka sadarbojas ar biržām, lai apturētu attiecīgā marķiera tirdzniecību.
"Mūsu aBNB marķieris ir izmantots, un mēs pašlaik strādājam ar biržām, lai nekavējoties apturētu tirdzniecību."
Sīkāka informācija par Hack
Saskaņā ar pieejamo informāciju hakeris spēja iegūt 20 triljonus Ankr Reward Bearing Staked BNB (aBNBc), pateicoties ievainojamībai viedajā līgumā par marķieri.
“Mūsu analīze liecina, ka $aBNBc marķiera līgumam ir neierobežota kļūda. Precīzāk, lai gan mint() ir aizsargāts tikai ar Minter modifikatoru, ir vēl viena funkcija (ar 0x3b3a5522 func. parakstu), kas pilnībā apiet zvanītāja verifikāciju, lai iegūtu patvaļīgu mint !!!”
PeckShield ziņoja, ka hakeris Tornado Cash bija pārskaitījis aptuveni 900 BNB, kuru vērtība ir aptuveni USD 253,000 3000. Turklāt izmantotājs arī savienoja USDC un ETH ar Ethereum blokķēdi. Pēc PeckShield datiem, hakeris tur 500,000 ETH un aptuveni XNUMX XNUMX USDC.
Uzbrucēja rīcībā esošie 20 triljoni aBNBc žetonu padara viņus par 13. lielāko marķiera turētāju. ABNBc marķieris ir atlīdzības marķieris BNB žetoniem, kas ir likti uz Ankr platformas.
Viedā līguma kodeksa ievainojamības
Blockchain drošības firma Beosin apstiprināja izmantošanas avotu, norādot, ka tas, iespējams, ir saistīts ar ievainojamību viedā līguma kodā, kā arī uzlauztajām privātajām atslēgām. Pēc Beozina teiktā, šīs ievainojamības varēja rasties Ankr veiktas tehniskās jaunināšanas rezultātā.
“@ankr ir izmantots. $aBNBc ir samazinājies -99.5%. Hakeris izkala tonnas $aBNBc un guva peļņu 5,500 BNB (~1.6 miljonus dolāru) apmērā. Izvietotājs pirms uzbrukuma nomainīja ieviešanas līgumu uz neaizsargātā līguma adresi (iespējams, privātās atslēgas kompromitēšanas dēļ).
Apsardzes firmas pārstāvis norādīja,
"Iespējams, ka šajā jaunināšanā tika atklāta izvietotāja privātā atslēga, kā rezultātā uzbrucējs izmantoja izvietotāja privilēģijas, lai mainītu līgumu."
Binance izmeklē ekspluatāciju
Binance 2. decembra ziņā apstiprināja, ka tās komanda ir sadarbojusies ar Ankr un citām saistītām pusēm un turpina izmeklēt šo lietu. Tā arī piebilda, ka neviens Binance lietotāju fonds nav apdraudēts.
“Mēs zinām, ka uzbrukums ir vērsts pret @ankr aBNBc marķieri. Mūsu komanda sadarbojas ar attiecīgajām pusēm un @BNBCHAIN, lai turpinātu izmeklēšanu. Šis nav uzbrukums #Binance, un jūsu līdzekļi ir SAFU mūsu biržā. Šis pavediens tiks atjaunināts, ja būs kādi atjauninājumi.
ANKR un BNB cenu kritumi
Notikumu rezultātā gan ANKR, gan BNB piedzīvoja ievērojamu cenu kritumu. Laikā, kad parādījās ziņas par izmantošanu, ANKR marķieris nokritās par aptuveni 6.6%, nokrītot līdz USD 0.0211. Tomēr kopš tā laika tas ir atguvies un pašlaik tiek tirgots par USD 0.0216. Žetons jau ir par vairāk nekā 90% zemāks, salīdzinot ar visu laiku augstāko līmeni 0.213 USD. Arī BNB žetons kritās, samazinoties par 3.1%. Tomēr šis kritums bija saistīts ar plašāku kritumu kriptovalūtu tirgos.
DeFi uzlaušanas gadījumu skaits pēdējo pāris mēnešu laikā bija krasi pieaudzis, oktobrim kļūstot par sliktāko mēnesi DeFi vēsturē. Vairāki DeFi protokoli, piemēram, Ethereum modinātāja pakalpojums, Daudzstūra ātrā maiņa, Mango tirgi, un citi, kļuva par varoņdarbu upuriem.
Atruna: Šis raksts ir paredzēts tikai informatīviem nolūkiem. Tas netiek piedāvāts vai paredzēts izmantot kā juridisku, nodokļu, ieguldījumu, finanšu vai citu padomu.
Avots: https://cryptodaily.co.uk/2022/12/defi-protocol-ankr-hit-by-multi-million-dollar-exploit