Me fokusin e industrisë së kriptove në fiasko FTX, hakerët e DeFi kanë bërë qejf, duke goditur Ankr dhe sipas informacionit të disponueshëm, kanë vjedhur 5 milionë dollarë.
Hakerët ishin në gjendje të shfrytëzonin një gabim të pakufizuar të minimit. Protokolli DeFi deklaroi se po punon me shkëmbime për të zbutur ndikimin e hakimit.
Ankr Falls Viktim për Shfrytëzim
Ankr, një protokoll i financave të decentralizuara (DeFi) me bazë në zinxhirin BNB, ka konfirmuar se ka rënë viktimë e një shfrytëzimi shumë milionë dollarësh. Sulmi ndodhi më 1 dhjetor dhe u zbulua nga analisti i sigurisë në zinxhir, PeckShield më 2 dhjetor. Ankr konfirmoi zhvillimet pak më vonë, duke deklaruar në Twitter se hakerët kishin arritur të shfrytëzonin tokenin aBNB. Ata gjithashtu njoftuan se po punonin me shkëmbime për të ndaluar tregtimin e tokenit në fjalë.
"Tokeni ynë aBNB është shfrytëzuar dhe aktualisht po punojmë me shkëmbimet për të ndaluar menjëherë tregtimin."
Detajet e Hack
Sipas detajeve të disponueshme, hakeri ishte në gjendje të krijonte 20 trilionë Ankr Reward Bearing Staked BNB (aBNBc) falë një cenueshmërie në kontratën inteligjente për tokenin.
“Analiza jonë tregon se kontrata e tokenit $aBNBc ka një defekt të pakufizuar me mint. Në mënyrë të veçantë, ndërkohë që mint() mbrohet me modifikuesin onlyMinter, ekziston një funksion tjetër (me nënshkrim 0x3b3a5522) që anashkalon plotësisht verifikimin e thirrësit për të pasur mint arbitrar !!!"
PeckShield raportoi se hakeri kishte transferuar rreth 900 BNB, me vlerë rreth 253,000 dollarë në Tornado Cash. Për më tepër, shfrytëzuesi lidhi gjithashtu USDC dhe ETH me zinxhirin e bllokut Ethereum. Sipas PeckShield, hakeri mban 3000 ETH dhe rreth 500,000 USDC.
20 trilion argumentet aBNBc të mbajtura nga sulmuesi i bëjnë ata mbajtësin e 13-të më të madh të tokenit. Shenja aBNBc është shenja shpërblyese për argumentet BNB të vendosura në platformën Ankr.
Dobësitë në Kodin e Kontratës Smart
Firma e sigurisë Blockchain Beosin konfirmoi burimin e shfrytëzimit, duke deklaruar se ka të ngjarë për shkak të dobësive në kodin e kontratës inteligjente, së bashku me çelësat privatë të komprometuar. Sipas Beosin, këto dobësi mund të kishin dalë nga një përmirësim teknik i kryer nga Ankr.
“@ankr është shfrytëzuar. $aBNBc ka rënë -99.5%. Hakeri grumbulloi tonelata të aBNBc dhe fitoi 5,500 BNB (~ 1.6 milion dollarë). Deponuesi e ndryshoi kontratën e zbatimit në adresën e kontratës vulnerabël përpara sulmit (ndoshta për shkak të kompromisit të çelësit privat).
Një zëdhënës i firmës së sigurisë tha,
"Është e mundur që çelësi privat i shpërndarësit të jetë ekspozuar në këtë përmirësim, duke çuar në një sulmues që përdor privilegjet e shpërndarësit për të modifikuar kontratën."
Binance duke hetuar shfrytëzimin
Binance, në një postim më 2 dhjetor, konfirmoi se ekipi i tij ishte i angazhuar me Ankr dhe palë të tjera të lidhura dhe po hetonte më tej çështjen. Ai gjithashtu shtoi se asnjë fond përdoruesi i Binance nuk ishte në rrezik.
“Ne jemi të vetëdijshëm për sulmin që synon tokenin aBNBc të @ankr. Ekipi ynë është i angazhuar me palët përkatëse dhe @BNBCHAIN për të hetuar më tej. Ky nuk është një sulm kundër #Binance, dhe fondet tuaja janë SAFU në shkëmbimin tonë. Kjo temë do të përditësohet nëse do të ketë përditësime.”
ANKR dhe BNB ulje çmimi
Si pasojë e zhvillimeve, si ANKR ashtu edhe BNB panë një rënie të konsiderueshme çmimi. Në kohën kur u publikua lajmi për shfrytëzimin, token ANKR ra rreth 6.6%, duke rënë në 0.0211 dollarë. Megjithatë, që atëherë është rikuperuar dhe aktualisht po tregtohet me 0.0216 dollarë. Shenja është tashmë mbi 90% poshtë nga niveli i tij më i lartë i të gjitha kohërave prej 0.213 dollarë. Token BNB gjithashtu ra, duke rënë me 3.1%. Megjithatë, kjo rënie i atribuohet një rënie më të gjerë në tregjet e kriptove.
Hakimet e DeFi ishin rritur në mënyrë drastike gjatë dy muajve të fundit, me tetorin që u bë muaji më i keq në historinë e DeFi. Disa protokolle DeFi, si p.sh Shërbimi i orës së alarmit Ethereum, Shkëmbimi i shpejtë i poligonit, Tregjet Mango, dhe të tjerë, ranë viktimë e shfrytëzimeve.
Përgjegjësia: Ky artikull është dhënë vetëm për qëllime informative. Nuk ofrohet ose synohet të përdoret si këshillë juridike, tatimore, investuese, financiare ose këshillë tjetër.
Burimi: https://cryptodaily.co.uk/2022/12/defi-protocol-ankr-hit-by-multi-million-dollar-exploit