2. decembra ob 12:35 GMT je Peckshield označil izkoriščanje, ki ga je naredil napadalec na Ankr protokol. Izkoriščanje je naredilo pot z 20 bilijoni nagradnih žetonov aBNBc iz protokola.
Ankr Reward Bearing Staked BNB (aBNBc) je žeton, ki nosi nagrado, kar pomeni, da njegova količina ostane enaka od trenutka stakinga. Žeton se ceni, ko njegovo razmerje odkupa raste zaradi kopičenja nagrad.
Ankr je lansiral žeton na Binance veriga kot funkcija tekočega stakinga na Ankr. Uporabniki so zaslužili obresti tako, da so svoj BNB vložili v pametno pogodbo in pridobili aBNBc kot dokazilo o vložku.
Lovljenje denarne sledi aBNBc
Glede na Lookonchain, je napadalec ukradel ključe razporednika Ankr in skoval 10 bilijonov aBNBc, ki jih je poslal sebi. Kasneje je na naslov nakazal 1.125 BNB za stroške goriva in začel odlagati ukradene žetone.
Napadalec je ponovno izkoristil pogodbo in skoval še 10 trilijonov žetonov. Po izkoriščanju je napadalec začel pranje denarja v BNB in Ethereum prek Tornado casha.
Tornado Cash je decentralizirana, odprtokodna pametna pogodba, ki zagotavlja storitev pranja 'omadeženih' sredstev v kriptovalutah z drugimi, da se prikrije vir sredstev.
Napadalec je ukradena sredstva tudi nakazal na Helio Money; z uporabo sredstev kot zavarovanja si je izposodil 16 milijonov $ HAY, ki jih je kasneje prodal za 15.5 milijona $ BUSD. Napadalec je večkrat ponovil podobne transakcije z $HAY, prodanimi za BNB.
Analiza izkoriščanja HAY v vrednosti 16 milijonov dolarjev, ki jo je opravil Lookonchain.
Varnostno podjetje Peckshield je razkrilo, da je imela pogodba Ankr napako v funkciji kovanja. Podpis funkcije w/ 0x3b3a5522, vdelan v pogodbo, bi lahko zaobšel funkcijo OnlyMinter in imel poljubno kovnico.
Peckshield je tudi opozoril, da so napadalci premostili sredstva prek Celerja in de BridgeGate-a v Ethereum in Tornado cash.
Ankr se je na Twitterju odzval tako, da je priznal vdor in hitro obvestil borze, naj ustavijo trgovanje z žetoni. Oni svetuje njihovi skupnosti, da bi se izognili trgovanju z žetoni, umaknili likvidnost z borz in navedli izdajo novih žetonov. S to potezo bi ukradeni žetoni postali brez vrednosti.
Peckshield je opozoril na več podvigov iz funkcije kovnice.
Napadalci ostajajo zelo aktivni; blockchain statistika navaja tudi izkoriščevalce zgorela milijarde žetonov.
Po Peckshieldu nekateri izkoriščevalci prenese USDC in BUSD sta bila oprana iz podviga v Binance izmenjava. Sprana sredstva v Binance skupaj znašajo približno 19 milijonov dolarjev.
Vir: https://www.cryptopolitan.com/ankr-protocol-exploited-trillions-of-abnbc/