Ο πάροχος αποκεντρωμένης υποδομής Web3 Ankr προσπάθησε να καθησυχάσει την κοινότητά του την Παρασκευή με μια αρχική απάντηση στο κλοπή τουλάχιστον 5.5 εκατομμυρίων δολαρίων από τις ομάδες ρευστότητας της αλυσίδας BNB και τις χρηματαγορές.
Η ομάδα επιβεβαίωσε ότι τα άλλα προϊόντα της Ankr — συμπεριλαμβανομένων των επικυρωτών, των κόμβων RPC και των υπηρεσιών AppChain — δεν επηρεάστηκαν. Αυτό θα είναι ανακούφιση για τους κατόχους άλλων μεγαλύτερων παραγώγων στοιχηματισμού της Ankr, ιδίως του aETHc — Ankr staked ether — που έχει κεφαλαιοποίηση περίπου 68 εκατομμυρίων δολαρίων.
Ο εισβολέας έκοψε συνολικά 60 τρισεκατομμύρια aBNBc σε 6 διαφορετικές συναλλαγές. Στη συνέχεια, ο κλέφτης χρησιμοποίησε τα κομμένα, αλλά χωρίς υποστήριξη μάρκες για να αποστραγγίσει τη ρευστότητα από τα αποκεντρωμένα χρηματιστήρια στην αλυσίδα BNB. Αφού γύρισε και αγόρασε το καταθλιπτικό aBNBc, ο εισβολέας μπόρεσε να κάνει έφοδο στο πρωτόκολλο δανεισμού και δανεισμού Helio αποσύροντας 16 εκατομμύρια δολάρια σε HAY, το προσαρμοσμένο stablecoin του πρωτοκόλλου και ανταλλάσσοντάς το με 15.5 εκατομμύρια δολάρια BUSD, το σταθερό νόμισμα Binance που εκδόθηκε από τους Παξούς.
Πριν από το exploit, ο Helio είχε 90 εκατομμύρια δολάρια σε Total Value Locked, σύμφωνα με τον DeFiLlama.
«Οι εισβολές και οι εκμεταλλεύσεις από κακούς ηθοποιούς σαν αυτόν είναι μια ατυχής πιθανότητα στο Web3, ακόμη και με κάθε προσοχή στη λεπτομέρεια στις διαδικασίες ασφαλείας — αλλά ήμασταν καλά προετοιμασμένοι», δήλωσε ο συνιδρυτής και διευθύνων σύμβουλος Chandler Song, στο μια δήλωση.
Ένα συνιστώμενο «σχέδιο δράσης» εξηγούσε πώς οι χρήστες του aBNBc μπορούν να αποζημιωθούν μέσω ενός νέου διακριτικού ankrBNB που θα κοπεί και θα απορριφθεί με βάση ένα στιγμιότυπο πριν από την εκμετάλλευση δεδομένων on-chain.
Ενώ η επίθεση προέρχεται προφανώς από κακόβουλη χρήση του ιδιωτικού κλειδιού για τον προγραμματιστή έξυπνων συμβολαίων aBNBc, δεν είναι σαφές πώς ακριβώς παραβιάστηκε το κλειδί. Βιομηχανία απαιτούν οι βέλτιστες πρακτικές Πορτοφόλια πολλαπλών υπογραφών και timelocks σε έξυπνα συμβόλαια με δυνατότητα αναβάθμισης, για την πρόληψη αυτού του τύπου επίθεσης.
Οι εκπρόσωποι της Ankr δεν απάντησαν στο αίτημα της Blockworks για σχολιασμό.
Άλλοι πάροχοι υγρών στοιχημάτων BNB όπως το pSTAKE χρησιμοποιήστε πολλαπλάσια για την προστασία των ευαίσθητων συμβολαίων και τον περιορισμό της πρόσβασης σε λειτουργίες κοπής token, ενώ πλήρως αποκεντρωμένες εφαρμογές όπως το Uniswap στο Ethereum δεν μπορούν να αναβαθμιστούν καθόλου.
Η πλήρης έκταση των παράπλευρων ζημιών δεν είναι ακόμη σαφής, αλλά η Ankr εξέφρασε την πρόθεση για την επίλυση των ζημιών που υφίστανται οι πελάτες των σχετικών dapps DeFi.
Για παράδειγμα, η Ankr θα καλύψει το επισφαλές χρέος που προέκυψε από το πρωτόκολλο Helio, εν αναμονή του αποτελέσματος των συνεχιζόμενων συζητήσεων, σύμφωνα με στον επίσημο λογαριασμό του τελευταίου στο Twitter.
Λάβετε τα κορυφαία νέα και πληροφορίες για τα κρυπτονομίσματα της ημέρας που παραδίδονται στα εισερχόμενά σας κάθε απόγευμα. Εγγραφείτε στο δωρεάν ενημερωτικό δελτίο της Blockworks τώρα.
Πηγή: https://blockworks.co/news/ankr-exploit-causes-collateral-damage