DeFi Protocol Ankr ramt af multi-million dollar udnyttelse

Med kryptoindustriens fokus på FTX-fiaskoen, har DeFi-hackere været glade og ramt Ankr og stjålet 5 millioner dollars i henhold til tilgængelige oplysninger.

Hackere var i stand til at udnytte en ubegrænset prægningsfejl. DeFi-protokollen erklærede, at den arbejder med udvekslinger for at afbøde hackets indvirkning. 

Ankr falder offer for at udnytte 

Ankr, en BNB Chain-baseret decentraliseret finansprotokol (DeFi), har bekræftet, at den er blevet offer for en udnyttelse på flere millioner dollars. Angrebet fandt sted den 1. december og blev opdaget af on-chain sikkerhedsanalytiker PeckShield den 2. december. Ankr bekræftede udviklingen kort efter og udtalte på Twitter, at hackere havde formået at udnytte aBNB-tokenet. De meddelte også, at de arbejdede med børser for at standse handel med det pågældende token. 

"Vores aBNB-token er blevet udnyttet, og vi arbejder i øjeblikket med børser for øjeblikkeligt at stoppe handelen."

Detaljer om hacket 

Ifølge de tilgængelige detaljer var hackeren i stand til at præge 20 billioner Ankr Reward Bearing Staked BNB (aBNBc) takket være en sårbarhed i den smarte kontrakt for tokenet.

"Vores analyse viser, at $aBNBc-tokenkontrakten har en ubegrænset fejl. Specifikt, mens mint() er beskyttet med onlyMinter modifier, er der en anden funktion (m/ 0x3b3a5522 func. signatur), der fuldstændigt omgår opkaldsbekræftelsen for at have vilkårlig mint !!!”

PeckShield rapporterede, at hackeren havde overført omkring 900 BNB, til en værdi af omkring $253,000 til Tornado Cash. Derudover slog udnytteren også bro mellem USDC og ETH til Ethereum blockchain. Ifølge PeckShield har hackeren 3000 ETH og omkring 500,000 USDC. 

De 20 billioner aBNBc-tokens, som angriberen holder, gør dem til den 13. største indehaver af tokenet. aBNBc-tokenet er det belønningsbærende token for BNB-tokens, der er satset på Ankr-platformen. 

Sårbarheder i Smart Contract Code 

Blockchain-sikkerhedsfirmaet Beosin bekræftede kilden til udnyttelsen og sagde, at det sandsynligvis skyldtes sårbarheder i den smarte kontraktkode sammen med kompromitterede private nøgler. Ifølge Beosin kunne disse sårbarheder være opstået fra en teknisk opgradering udført af Ankr. 

"@ankr er blevet udnyttet. $aBNBc er faldet -99.5%. Hackeren prægede tonsvis af $aBNBc og opnåede et overskud på 5,500 BNB (~1.6 millioner dollars). Deployeren ændrede implementeringskontrakten til den sårbare kontraktadresse før angrebet (muligvis på grund af kompromittering af privat nøgle).

En talsmand for sikkerhedsfirmaet sagde,

"Det er muligt, at deployerens private nøgle blev afsløret i denne opgradering, hvilket førte til, at en hacker brugte deployer-rettigheder til at ændre kontrakten." 

Binance undersøger udnyttelsen 

Binance bekræftede i et indlæg den 2. december, at dets team var engageret med Ankr og andre relaterede parter og undersøgte sagen yderligere. Det tilføjede også, at ingen Binance-brugermidler var i fare. 

"Vi er opmærksomme på angrebet rettet mod @ankrs aBNBc-token. Vores team er engageret med de relevante parter og @BNBCHAIN ​​for at undersøge nærmere. Dette er ikke et angreb mod #Binance, og dine penge er SAFU på vores børs. Denne tråd vil blive opdateret, hvis der er nogen opdateringer."

ANKR og BNB Prisfald 

Som følge af udviklingen oplevede både ANKR og BNB et betydeligt prisfald. På det tidspunkt, hvor nyheden om udnyttelsen brød ud, faldt ANKR-tokenet omkring 6.6% og faldt til $0.0211. Det er dog siden kommet sig og handles i øjeblikket til $0.0216. Tokenet er allerede over 90% ned fra dets rekordhøje niveau på $0.213. BNB-tokenet faldt også og faldt med 3.1%. Dette fald blev dog tilskrevet et bredere fald på kryptomarkederne. 

DeFi-hacks var steget drastisk i løbet af de sidste par måneder, hvor oktober blev den værste måned i DeFi-historien. Adskillige DeFi-protokoller, såsom Ethereum vækkeur service, Polygons QuickSwap, Mangomarkederog andre blev ofre for bedrifter.

Ansvarsfraskrivelse: Denne artikel gives kun til informationsformål. Det tilbydes eller er ikke beregnet til at blive brugt som juridisk, skat, investering, finansiel eller anden rådgivning.