DeFi-protokollet Ankr drabbats av utnyttjande av flera miljoner dollar

Med kryptoindustrins fokus på FTX-fiaskot har DeFi-hackare varit glada, träffat Ankr och, enligt tillgänglig information, stjäl 5 miljoner dollar.

Hackare kunde utnyttja en obegränsad minting bugg. DeFi-protokollet uppgav att det arbetar med utbyten för att mildra hackets påverkan. 

Ankr faller offer för att utnyttja 

Ankr, ett BNB Chain-baserat decentraliserat finansprotokoll (DeFi), har bekräftat att det har fallit offer för en exploatering på flera miljoner dollar. Attacken inträffade den 1 december och upptäcktes av kedjans säkerhetsanalytiker PeckShield den 2 december. Ankr bekräftade utvecklingen kort efter och uppgav på Twitter att hackare hade lyckats utnyttja aBNB-tokenet. De meddelade också att de arbetade med börser för att stoppa handeln med den aktuella tokenen. 

"Vår aBNB-token har utnyttjats, och vi arbetar för närvarande med börser för att omedelbart stoppa handeln."

Detaljer om hacket 

Enligt den tillgängliga informationen kunde hackaren slå 20 biljoner Ankr Reward Bearing Staked BNB (aBNBc) tack vare en sårbarhet i det smarta kontraktet för token.

"Vår analys visar att $aBNBc-tokenkontraktet har ett obegränsat myntfel. Närmare bestämt, medan mint() är skyddad med onlyMinter-modifierare, finns det en annan funktion (w/ 0x3b3a5522 funk. signatur) som helt kringgår anroparverifieringen för att ha godtycklig mint !!!”

PeckShield rapporterade att hackaren hade överfört cirka 900 BNB, värda cirka $253,000 3000 till Tornado Cash. Dessutom kopplade exploatören också USDC och ETH till Ethereum-blockkedjan. Enligt PeckShield har hackaren 500,000 ETH och runt XNUMX XNUMX USDC. 

De 20 biljoner aBNBc-token som innehas av angriparen gör dem till den 13:e största innehavaren av token. aBNBc-token är den belöningsbärande token för BNB-token som satsas på Ankr-plattformen. 

Sårbarheter i Smart Contract Code 

Blockchain-säkerhetsföretaget Beosin bekräftade källan till utnyttjandet och uppgav att det troligen berodde på sårbarheter i den smarta kontraktskoden, tillsammans med komprometterade privata nycklar. Enligt Beosin kan dessa sårbarheter ha uppstått från en teknisk uppgradering som utförts av Ankr. 

"@ankr har utnyttjats. $aBNBc har sjunkit -99.5%. Hackern slog ut massor av $aBNBc och gjorde en vinst på 5,500 1.6 BNB (~XNUMX miljoner dollar). Installatören ändrade implementeringskontraktet till den sårbara kontraktsadressen före attacken (möjligen på grund av att privat nyckel kompromitterats)."

En talesperson för säkerhetsföretaget sa,

"Det är möjligt att deployerns privata nyckel exponerades i den här uppgraderingen, vilket ledde till att en angripare använde deployer-privilegier för att ändra kontraktet." 

Binance undersöker exploateringen 

Binance, i ett inlägg den 2 december, bekräftade att dess team var engagerat med Ankr och andra närstående parter och undersökte saken vidare. Den tillade också att inga Binance-användarmedel var i riskzonen. 

"Vi är medvetna om attacken riktad mot @ankrs aBNBc-token. Vårt team är engagerat med relevanta parter och @BNBCHAIN ​​för att undersöka ytterligare. Detta är inte en attack mot #Binance, och dina pengar är SAFU på vår börs. Den här tråden kommer att uppdateras om det kommer några uppdateringar."

ANKR och BNB Prisfall 

Som ett resultat av utvecklingen såg både ANKR och BNB ett betydande prisfall. När nyheten om exploateringen kom föll ANKR-tokenen runt 6.6 % och föll till 0.0211 USD. Den har dock återhämtat sig sedan dess och handlas för närvarande på $0.0216. Tokenet är redan över 90 % ned från sin rekordnivå på 0.213 $. BNB-tokenen sjönk också och föll med 3.1 %. Denna nedgång tillskrevs dock en bredare nedgång på kryptomarknaderna. 

DeFi-hackarna hade ökat drastiskt under de senaste månaderna, med oktober som blev den värsta månaden i DeFis historia. Flera DeFi-protokoll, såsom Ethereums väckarklockatjänst, Polygons QuickSwap, Mangomarknader, och andra, föll offer för bedrifter.

Ansvarsfriskrivning: Den här artikeln tillhandahålls endast i informationssyfte. Det erbjuds eller är inte avsett att användas som juridisk, skatt, investering, finansiell eller annan rådgivning.