A decentralizált web3 infrastruktúra-szolgáltató, az Ankr pénteken megpróbálta megnyugtatni közösségét egy kezdeti válaszával a legalább 5.5 millió dollár ellopása a BNB Chain likviditási poolokból és pénzpiacokból.
A csapat megerősítette, hogy az Ankr többi termékét – beleértve a validátorokat, az RPC csomópontokat és az AppChain szolgáltatásokat – ez nem érinti. Ez megkönnyebbülést jelent az Ankr többi nagyobb részesedésű származékos ügyletének tulajdonosai számára, nevezetesen az aETHc-nek – az Ankr téttel rendelkező éternek –, amelynek piaci sapkája körülbelül 68 millió dollár.
A támadó összesen 60 billió aBNBc-t verett 6 különböző tranzakció során. A tolvaj ezután a vert, de fedezetlen zsetonokat használta arra, hogy elszívja a likviditást a BNB-lánc decentralizált tőzsdéiből. Miután megfordult és megvásárolta a depressziós aBNBc-t, a támadó képes volt megrohanni a Helio hitelfelvételi és kölcsönadási protokollt úgy, hogy 16 millió dollárt vett ki a HAY-ből, a protokoll egyedi stablecoinjából, és 15.5 millió dolláros BUSD-ra cserélte, a Paxos által kibocsátott Binance stabil érmére.
A kizsákmányolás előtt a Helio 90 millió dolláros összértéket zárolt, a DeFiLlama szerint.
"Az ehhez hasonló rossz szereplőktől származó feltörések és kizsákmányolások szerencsétlen lehetőség a Web3-ban, még akkor is, ha minden részletre odafigyelnek a biztonsági folyamatokban – de jól felkészültünk" - mondta Chandler Song társalapító és vezérigazgató. nyilatkozat.
Az ajánlott „cselekvési terv” elmagyarázta, hogyan lehet az aBNBc felhasználóit kompenzálni egy új ankrBNB tokennel, amelyet a láncon belüli adatok felhasználás előtti pillanatképe alapján készítenek és dobnak le.
Bár a támadás nyilvánvalóan az aBNBc intelligens szerződéses telepítőjének privát kulcsának rosszindulatú használatából ered, nem világos, hogy a kulcs pontosan hogyan került veszélybe. Ipar a legjobb gyakorlatok megkövetelik többaláírású pénztárcák és időzárak a frissíthető intelligens szerződéseken az ilyen típusú támadások megelőzésére.
Az Ankr képviselői nem válaszoltak a Blockworks megjegyzéskérésére.
Egyéb folyékony téttel rendelkező BNB szolgáltatók, például a pSTAKE használj multisig-et az érzékeny szerződések védelme és a tokenverési funkciókhoz való hozzáférés korlátozása, miközben a teljesen decentralizált dapp-ok, mint például az Ethereum Uniswap, egyáltalán nem frissíthetők.
A járulékos kár teljes mértéke még nem tisztázott, de az Ankr kifejezte a szándékát a kapcsolódó DeFi dappok ügyfelei által elszenvedett veszteségek megoldására.
Például az Ankr fedezi a Helio Protocol miatt felmerült rossz követeléseket, a folyamatban lévő megbeszélések eredményéig, szerint utóbbi hivatalos Twitter-fiókja.
Minden este megkapja a nap legfontosabb kriptográfiai híreit és betekintést a postaládájába. Iratkozzon fel a Blockworks ingyenes hírlevelére most.
Forrás: https://blockworks.co/news/ankr-exploit-causes-collateral-damage