Il fornitore di infrastrutture Web3 decentralizzate Ankr ha cercato di rassicurare la sua comunità venerdì con una prima risposta al furto di almeno $ 5.5 milioni da BNB Chain pool di liquidità e mercati monetari.
Il team ha confermato che gli altri prodotti di Ankr, inclusi validatori, nodi RPC e servizi AppChain, non sono stati interessati. Ciò sarà un sollievo per i detentori degli altri derivati di staking più grandi di Ankr, in particolare aETHc - Ankr staked ether - che ha una capitalizzazione di mercato di circa $ 68 milioni.
L'attaccante ha coniato un totale di 60 trilioni di aBNBc in 6 diverse transazioni. Il ladro ha quindi utilizzato i token coniati, ma non supportati, per drenare liquidità dagli scambi decentralizzati sulla catena BNB. Dopo essersi voltato e aver acquistato il depresso aBNBc, l'attaccante è stato in grado di fare irruzione nel protocollo di prestito e prestito Helio prelevando $ 16 milioni in HAY, lo stablecoin personalizzato del protocollo e scambiandolo con $ 15.5 milioni di BUSD, lo stablecoin di Binance emesso da Paxos.
Prima dell'exploit, Helio aveva $ 90 milioni di valore totale bloccato, secondo DeFiLlama.
"Gli hack e gli exploit di malintenzionati come questo sono una sfortunata possibilità in Web3, anche con ogni attenzione ai dettagli nei processi di sicurezza, ma eravamo ben preparati", ha dichiarato il co-fondatore e CEO Chandler Song, in una dichiarazione.
Un "piano d'azione" consigliato spiegava come gli utenti di aBNBc possono essere compensati attraverso un nuovo token ankrBNB che verrà coniato e distribuito in base a un'istantanea pre-exploit dei dati on-chain.
Sebbene l'attacco derivi apparentemente da un uso dannoso della chiave privata per lo smart contract deployer aBNBc, non è chiaro esattamente come la chiave sia stata compromessa. Industria le migliori pratiche richiedono portafogli multifirma e timelock su smart contract aggiornabili, per prevenire questo tipo di attacco.
I rappresentanti di Ankr non hanno risposto alla richiesta di commento di Blockworks.
Altri fornitori di BNB in staking liquidi come pSTAKE usa multisig per proteggere i contratti sensibili e limitare l'accesso alle funzioni di conio di token, mentre le dapp completamente decentralizzate come Uniswap su Ethereum non sono affatto aggiornabili.
L'entità completa del danno collaterale non è ancora chiara, ma l'Ankr espresso l'intento per risolvere le perdite subite dai clienti delle relative dapps DeFi.
Ad esempio, Ankr coprirà i crediti inesigibili sostenuti dal Protocollo Helio, in attesa dell'esito delle discussioni in corso, secondo l'account Twitter ufficiale di quest'ultimo.
Ricevi ogni sera le notizie e gli approfondimenti più importanti del giorno sulla criptovaluta nella tua casella di posta. Iscriviti alla newsletter gratuita di Blockworks ora.
Fonte: https://blockworks.co/news/ankr-exploit-causes-collateral-damage