A tegnapi megerősített, több millió dolláros kizsákmányolást követően a BNB-láncon alapuló protokoll, az Ankr december 2-án cége blogjára vitte. relé következő lépései a felhasználók felé.
A csapat azt mondta, hogy azonosítja a decentralizált tőzsdék likviditásszolgáltatóit, valamint az aBNBc-t vagy az aBNBb LP-t támogató protokollokat. A csoport azt is közölte, hogy felméri az aBNBc biztosítékkészleteket, mint például a Midas és a Helio. A bejegyzés szerint az Ankr 5 millió dollár értékben kíván BNB-t vásárolni, amelyet a kizsákmányolás által érintett likviditásszolgáltatók kártalanítására fordít.
Egyes felhasználók spekulatív módon hígított aBNBc-vel kereskedtek a visszaélés megtörténte után is, de a cég jelezte, hogy ezek a kereskedők nem fognak szerepelni a protokoll kompenzációs intézkedéseiben, mondván: „Csak az esemény által váratlanul ért LP-ket tudjuk kompenzálni.”
Frissítés az aBNB Token Exploitunkról:
Hálásak vagyunk a DEX-ek, csereprogramok és protokollok közösségének, amelyek mind segítettek a kizsákmányolás gyors befejezésében.
Tartalékokat fogunk felhasználni az aBNBc poolok likviditásszolgáltatóinak kompenzálására.https://t.co/B2yNWBAQdX
- Ankr (@ankr) December 2, 2022
A fejlesztők röviden elmagyarázták, hogyan történt a feltörés. Egy rosszindulatú szereplő hozzáfért a csapat „telepítési kulcsához”, vagy ahhoz a kulcshoz, amelyet eredetileg a protokoll intelligens szerződéseinek üzembe helyezéséhez használtak. Mivel a szerződések frissíthetők, ez lehetővé tette a támadó számára, hogy az egyik szerződés teljesen új verzióját telepítse, ami lehetővé tette számukra, hogy korlátlan számú érmét verjenek „jogosultsági ellenőrzések nélkül”.
Miután megszerezte ezt a hatalmat, a csapat azt mondta, hogy a támadó 60 billió aBNBb jelzőt vert a levegőből. Ezeket USDC-re cserélték, és az Ethereum felé tartó hidakon keresztül lekerültek a hálózatról.
Válaszul a csapat először átruházta a szerződések tulajdonjogát egy új, kompromisszumok nélküli fiókra. Ezzel biztosították a szerződéseket, megakadályozva, hogy a támadó további károkat okozzon. Az Ankr érvényesítői, az RPC API és az App Chain szolgáltatásai nem kerültek veszélybe, így a szerződések tulajdonjogának átruházása volt az egyetlen lépés a biztonság helyreállításához.
Ezután az Ankr figyelmeztette az összes DEX-et, hogy ne engedélyezzék az aBNBc vagy az aBNBb kereskedelmét, és jelenleg azon a folyamaton megy keresztül, hogy azonosítsa ezen tokenek likviditásszolgáltatóit, például azokat, amelyek a Helios és Midas tokent szállítják.
A blogbejegyzés hangsúlyozta, hogy az aBNBc és aBNBb jelenlegi verziói a továbbiakban nem válthatók be BNB-re. Pillanatfelvétel készül a felhasználók egyenlegéről a kihasználás előtt. Ezeknek a zsetonoknak új verzióit bocsátják ki, és a zsetontulajdonosokat az új érmékkel kompenzálják a kihasználás előtti egyenlegük alapján. Emiatt a csapat figyelmeztette a felhasználókat, hogy ne kereskedjenek az aBNBc-vel vagy az aBNBb-vel.
Az Ankr azt is megemlítette, hogy rájött, hogy egyes felhasználók arbitrázsokat folytattak, hogy hasznot húzzanak a kizsákmányolásból, de ezeket az arbitrázsokat nem jutalmazzák, mivel a pillanatfelvétel 02. december 2022., 12:43:18 UTC időpontra és dátumra készül. . Az ezen idő után végrehajtott kereskedések nem befolyásolják a tulajdonos visszatérítését.
Ezenkívül a fejlesztők kijelentették, hogy a likviditásszolgáltatóknak el kell távolítaniuk az aBNBc és aBNBb tokeneiket a likviditási készletükből, és inkább a pénztárcájukban kell tartaniuk a tokeneket.
Forrás: https://cointelegraph.com/news/ankr-says-no-one-should-trade-abnbc-only-lps-caught-off-guard-will-be-compensated