Decentraliseret Web3-infrastrukturudbyder Ankr forsøgte at berolige sit samfund fredag med et indledende svar på tyveri på mindst 5.5 millioner dollars fra BNB Chain likviditetspuljer og pengemarkeder.
Holdet bekræftede, at Ankrs andre produkter - inklusive validatorer, RPC-noder og AppChain-tjenester - ikke var påvirket. Det vil komme som en lettelse for indehavere af Ankrs andre større indsatsderivater, især aETHc — Ankr staked ether — som har en markedsværdi på omkring $68 millioner.
Angriberen prægede i alt 60 billioner aBNBc på tværs af 6 forskellige transaktioner. Tyven brugte derefter de prægede, men ustøttede tokens til at dræne likviditet fra decentraliserede børser på BNB-kæden. Efter at have vendt om og købt den deprimerede aBNBc var angriberen i stand til at raide låne- og udlånsprotokollen Helio ved at hæve $16 millioner i HAY, protokollens brugerdefinerede stablecoin og bytte den til $15.5 millioner BUSD, Binance stablecoin udstedt af Paxos.
Før udnyttelsen havde Helio $90 millioner i Total Value Locked, ifølge DeFiLlama.
"Hack og udnyttelse fra dårlige skuespillere som denne er en uheldig mulighed i Web3, selv med al opmærksomhed på detaljer i sikkerhedsprocesser - men vi var godt forberedt," sagde medstifter og administrerende direktør Chandler Song i en erklæring.
En anbefalet "handlingsplan" forklarede, hvordan brugere af aBNBc kan kompenseres gennem et nyt ankrBNB-token, der vil blive præget og luftdroppet baseret på et forhåndsudnyttet øjebliksbillede af on-chain-data.
Selvom angrebet tilsyneladende stammer fra ondsindet brug af den private nøgle til aBNBc-smart kontraktudvikleren, er det uklart, præcis hvordan nøglen blev kompromitteret. Industri bedste praksis kræver multisignatur tegnebøger og timelocks på opgraderbare smarte kontrakter, for at forhindre denne type angreb.
Repræsentanter fra Ankr reagerede ikke på Blockworks anmodning om kommentar.
Andre udbydere af liquid staked BNB såsom pSTAKE bruge multisigs for at beskytte følsomme kontrakter og begrænse adgangen til token minting-funktioner, mens fuldt decentraliserede dapps såsom Uniswap på Ethereum slet ikke kan opgraderes.
Det fulde omfang af sikkerhedsskaden er endnu ikke klart, men Ankr udtrykte hensigten til at løse tab pådraget af kunder af relaterede DeFi-dapps.
For eksempel vil Ankr dække dårlig gæld opstået af Helio-protokollen, i afventning af resultatet af igangværende drøftelser, efter sidstnævntes officielle Twitter-konto.
Få dagens bedste kryptonyheder og -indsigter leveret til din indbakke hver aften. Tilmeld dig Blockworks' gratis nyhedsbrev nu.
Kilde: https://blockworks.co/news/ankr-exploit-causes-collateral-damage