Il 2 dicembre, alle 12:35 GMT, Peckshield ha segnalato un exploit realizzato da un utente malintenzionato su Ankr protocollo. L'exploit ha lasciato il posto a 20 trilioni di token premio aBNBc dal protocollo.
Ankr Reward Bearing Staked BNB (aBNBc) è un token premiante, il che significa che la sua quantità rimane la stessa dal momento dello staking. Il token si apprezza man mano che il suo rapporto di riscatto cresce a causa dell'accumulo di premi.
Ankr ha lanciato il token sul Binance chain come funzione di picchettamento liquido su Ankr. Gli utenti hanno guadagnato interesse puntando i loro BNB sul contratto Smart e hanno ottenuto aBNBc come prova della puntata.
Inseguendo la pista del denaro aBNBc
Secondo Guarda catena, l'attaccante ha rubato le chiavi dal deployer Ankr e ha coniato 10 trilioni di aBNBc che ha inviato a se stesso. Successivamente ha trasferito 1.125 miliardi all'indirizzo per le tasse del gas e ha iniziato a scaricare i token rubati.
L'attaccante ha sfruttato nuovamente il contratto e ha coniato altri 10 trilioni di gettoni. Dopo gli exploit, l'attaccante ha iniziato a versare denaro in BNB e Ethereum tramite denaro Tornado.
Tornado Cash è un contratto Smart decentralizzato e open source che fornisce il servizio di lavaggio di fondi di criptovaluta "contaminati" con altri per oscurare la fonte dei fondi.
L'attaccante ha anche trasferito i fondi rubati a Helio Money; utilizzando i fondi come garanzia, ha preso in prestito $ 16 milioni di HAY che ha poi venduto per $ 15.5 milioni di BUSD. L'attaccante ha ripetuto transazioni simili con $HAY venduti per BNB in più occasioni.
Analisi degli exploit HAY da 16 milioni di dollari di Lookonchain.
La società di sicurezza Peckshield ha rivelato che il contratto Ankr aveva un bug nella sua funzione di conio. Una firma della funzione w/ 0x3b3a5522 incorporata nel contratto potrebbe bypassare la funzione OnlyMinter e avere un conio arbitrario.
Peckshield ha anche notato che gli aggressori hanno collegato i fondi attraverso Celer e de BridgeGate a Ethereum e Tornado cash.
Ankr ha reagito su Twitter riconoscendo l'hacking e ha rapidamente notificato agli scambi di interrompere gli scambi di token. Essi consigliato la loro comunità per evitare di scambiare i token, ritirare liquidità dagli scambi e ha citato l'emissione di nuovi token. La mossa renderebbe privi di valore i gettoni rubati.
Peckshield ha notato molteplici exploit dalla funzione di menta.
Gli aggressori rimangono molto attivi; blockchain le statistiche indicano anche gli sfruttatori bruciato miliardi di gettoni.
Secondo Peckshield, alcuni sfruttatori trasferito USDC e BUSD sono passati dall'exploit al Binance scambio. I fondi lavati in Binance ammontano a circa $ 19 milioni.
Fonte: https://www.cryptopolitan.com/ankr-protocol-exploited-tillions-of-abnbc/