December 2-án, 12:35 GMT-kor a Peckshield megjelölt egy támadó által elkövetett kihasználást Ankr jegyzőkönyv. A kizsákmányolás 20 billió aBNBc jutalomjelzővel váltotta meg a protokollt.
Az Ankr Reward Bearing Staked BNB (aBNBc) egy jutalommal járó token, azaz mennyisége a tét pillanatától változatlan marad. A token felértékelődik, ahogy a beváltási aránya nő a jutalom felhalmozódása miatt.
Ankr elindította a tokent a Binance lánc, mint folyékony feszítő funkció az Ankr-on. A felhasználók kamatot szereztek azzal, hogy BNB-jüket a Smart-szerződésre tették, és a tét bizonyítékaként aBNBc-t kaptak.
Az aBNBc pénznyomot kergetve
Szerint Lookonchain, a támadó kulcsokat lopott az Ankr telepítőjétől, és 10 billió aBNBc-t veretett, amit küldött magának. Később 1.125 BNB-t utalt át a címre a gázdíjért, és elkezdte kidobni az ellopott tokeneket.
A támadó ismét kihasználta a szerződést, és további 10 billió tokent vertett. A kizsákmányolások után a támadó pénzt kezdett mosni a BNB-be és Ethereum Tornado készpénzen keresztül.
A Tornado Cash egy decentralizált, nyílt forráskódú intelligens szerződés, amely a „szennyezett” kriptovaluta alapok másokkal való mosását biztosítja, hogy elfedje az alapok forrását.
A támadó az ellopott pénzeszközöket a Helio Money-nak is átutalta; az alapokat fedezetként felhasználva 16 millió dollár HAY-t vett fel, amelyet később 15.5 millió dollárért eladott. A támadó több alkalommal is megismételt hasonló tranzakciókat a BNB-nek eladott $HAY-vel.
16 millió dolláros HAY exploit elemzés a Lookonchain által.
A Peckshield biztonsági cég felfedte, hogy az Ankr-szerződésben hiba volt a pénzverési funkciójában. A szerződésbe ágyazott 0x3b3a5522 funkció aláírása megkerülheti az OnlyMinter funkciót, és tetszőleges minta lehet.
Peckshield azt is megjegyezte, hogy a támadók a Celeren és a de BridgeGate-en keresztül áthidalták az Ethereum és a Tornado készpénzt.
Ankr a Twitteren úgy reagált, hogy elismerte a feltörést, és gyorsan értesítette a tőzsdéket a token-kereskedelem leállításáról. Ők tanácsos közösségüket, hogy elkerüljék a tokenek kereskedelmét, elvonják a likviditást a tőzsdékről, és új tokenek kibocsátására hivatkoztak. A lépés az ellopott zsetonokat értéktelenné tenné.
Peckshield számos kizsákmányolást észlelt a menta funkcióból.
A támadók továbbra is rendkívül aktívak; blockchain A statisztikák a kizsákmányolókat is jelzik megégett több milliárd token.
Peckshield szerint néhány kizsákmányoló átment USDC, és BUSD mosott az exploit a Binance csere. A Binance-ba mosott pénzösszeg körülbelül 19 millió dollár.
Forrás: https://www.cryptopolitan.com/ankr-protocol-exploited-trillions-of-abnbc/