Με την εστίαση της βιομηχανίας κρυπτογράφησης στο φιάσκο του FTX, οι χάκερ του DeFi διασκεδάζουν, χτυπούν το Ankr και σύμφωνα με τις διαθέσιμες πληροφορίες, κλέβουν 5 εκατομμύρια δολάρια.
Οι χάκερ μπόρεσαν να εκμεταλλευτούν ένα απεριόριστο σφάλμα κοπής. Το πρωτόκολλο DeFi δήλωσε ότι συνεργάζεται με ανταλλακτήρια για να μετριάσει τον αντίκτυπο του hack.
Ankr Falls Victim To Exploit
Το Ankr, ένα πρωτόκολλο αποκεντρωμένης χρηματοδότησης (DeFi) που βασίζεται στην αλυσίδα BNB, επιβεβαίωσε ότι έπεσε θύμα εκμετάλλευσης πολλών εκατομμυρίων δολαρίων. Η επίθεση σημειώθηκε την 1η Δεκεμβρίου και ανακαλύφθηκε από τον αναλυτή ασφαλείας της αλυσίδας PeckShield στις 2 Δεκεμβρίου. Ο Ankr επιβεβαίωσε τις εξελίξεις αμέσως μετά, αναφέροντας στο Twitter ότι χάκερ κατάφεραν να εκμεταλλευτούν το διακριτικό aBNB. Ανακοίνωσαν επίσης ότι συνεργάζονται με ανταλλακτήρια για να σταματήσουν τις συναλλαγές του εν λόγω διακριτικού.
"Το διακριτικό μας aBNB έχει γίνει αντικείμενο εκμετάλλευσης και επί του παρόντος εργαζόμαστε με ανταλλακτήρια για να σταματήσουμε αμέσως τις συναλλαγές."
Λεπτομέρειες του The Hack
Σύμφωνα με τις διαθέσιμες λεπτομέρειες, ο χάκερ κατάφερε να κόψει 20 τρισεκατομμύρια Ankr Reward Bearing Staked BNB (aBNBc) χάρη σε μια ευπάθεια στο έξυπνο συμβόλαιο για το διακριτικό.
«Η ανάλυσή μας δείχνει ότι το συμβόλαιο διακριτικού $aBNBc έχει απεριόριστο σφάλμα μέντας. Συγκεκριμένα, ενώ η mint() προστατεύεται με τον τροποποιητή onlyMinter, υπάρχει μια άλλη συνάρτηση (με υπογραφή 0x3b3a5522) που παρακάμπτει εντελώς την επαλήθευση καλούντος για να έχει αυθαίρετο νομισματοκοπείο !!!”
Η PeckShield ανέφερε ότι ο χάκερ είχε μεταφέρει περίπου 900 BNB, αξίας περίπου 253,000 δολαρίων στο Tornado Cash. Επιπλέον, ο εκμεταλλευτής γεφύρωσε επίσης το USDC και το ETH με το blockchain Ethereum. Σύμφωνα με το PeckShield, ο χάκερ κατέχει 3000 ETH και περίπου 500,000 USDC.
Τα 20 τρισεκατομμύρια μάρκες aBNBc που κατέχει ο εισβολέας τους καθιστούν τον 13ο μεγαλύτερο κάτοχο του διακριτικού. Το διακριτικό aBNBc είναι το κουπόνι ανταμοιβής για μάρκες BNB που στοιχηματίζονται στην πλατφόρμα Ankr.
Ευπάθειες στον Κώδικα Έξυπνων Συμβάσεων
Η εταιρεία ασφαλείας Blockchain Beosin επιβεβαίωσε την πηγή της εκμετάλλευσης, δηλώνοντας ότι πιθανότατα οφείλεται σε ευπάθειες στον κώδικα έξυπνων συμβολαίων, μαζί με παραβιασμένα ιδιωτικά κλειδιά. Σύμφωνα με τον Beosin, αυτά τα τρωτά σημεία θα μπορούσαν να έχουν προκύψει από μια τεχνική αναβάθμιση που πραγματοποιήθηκε από την Ankr.
«Το @ankr έχει γίνει αντικείμενο εκμετάλλευσης. Το $aBNBc έχει πέσει -99.5%. Ο χάκερ έκοψε τόνους $aBNBc και έκανε κέρδος 5,500 BNB (~ 1.6 εκατομμύρια δολάρια). Ο προγραμματιστής άλλαξε τη σύμβαση υλοποίησης στη διεύθυνση της ευάλωτης σύμβασης πριν από την επίθεση (πιθανόν λόγω παραβίασης του ιδιωτικού κλειδιού).
Ένας εκπρόσωπος της εταιρείας ασφαλείας δήλωσε:
"Είναι πιθανό το ιδιωτικό κλειδί του προγραμματιστή να αποκαλύφθηκε σε αυτήν την αναβάθμιση, οδηγώντας σε έναν εισβολέα να χρησιμοποιήσει προνόμια προγραμματιστή για να τροποποιήσει τη σύμβαση."
Binance που ερευνά το Exploit
Η Binance, σε μια ανάρτησή της στις 2 Δεκεμβρίου, επιβεβαίωσε ότι η ομάδα της είχε συνεργαστεί με την Ankr και άλλα συνδεδεμένα μέρη και ερευνούσε περαιτέρω το θέμα. Πρόσθεσε επίσης ότι κανένα κεφάλαιο χρήστη του Binance δεν κινδύνευε.
«Γνωρίζουμε την επίθεση που στοχεύει το διακριτικό aBNBc του @ankr. Η ομάδα μας συνεργάζεται με τα σχετικά μέρη και το @BNBCHAIN για περαιτέρω διερεύνηση. Δεν πρόκειται για επίθεση εναντίον της #Binance και τα κεφάλαιά σας είναι SAFU στο χρηματιστήριο μας. Αυτό το νήμα θα ενημερωθεί εάν υπάρξουν ενημερώσεις."
Πτώση τιμών ANKR και BNB
Ως αποτέλεσμα των εξελίξεων, τόσο η ANKR όσο και η BNB σημείωσαν σημαντική πτώση στις τιμές. Την ώρα που κυκλοφόρησε η είδηση του exploit, το διακριτικό ANKR έπεσε περίπου 6.6%, πέφτοντας στα 0.0211 $. Ωστόσο, έκτοτε έχει ανακάμψει και αυτή τη στιγμή διαπραγματεύεται στα 0.0216 $. Το διακριτικό είναι ήδη πάνω από 90% κάτω από το υψηλό όλων των εποχών των 0.213 $. Πτώση σημείωσε και το διακριτικό BNB, υποχωρώντας κατά 3.1%. Ωστόσο, αυτή η πτώση αποδόθηκε σε μια ευρύτερη πτώση στις αγορές κρυπτογράφησης.
Οι εισβολές DeFi είχαν αυξηθεί δραστικά τους τελευταίους δύο μήνες, με τον Οκτώβριο να γίνεται ο χειρότερος μήνας στην ιστορία του DeFi. Αρκετά πρωτόκολλα DeFi, όπως το Υπηρεσία Ξυπνητήρι Ethereum, QuickSwap του Polygon, Αγορές Μάνγκο, και άλλοι, έπεσαν θύματα εκμεταλλεύσεων.
Αποποίηση ευθυνών: Αυτό το άρθρο παρέχεται μόνο για ενημερωτικούς σκοπούς. Δεν προσφέρεται ή δεν προορίζεται να χρησιμοποιηθεί ως νομική, φορολογική, επενδυτική, οικονομική ή άλλη συμβουλή.
Πηγή: https://cryptodaily.co.uk/2022/12/defi-protocol-ankr-hit-by-multi-million-dollar-exploit