Un nuovo mese, un nuovo hack DeFi! Mentre la situazione e ciò che è accaduto rimangono poco chiari, sembra che un hacker abbia sfruttato il protocollo finanziario decentralizzato Ankr.
Come ha affermato poche ore fa il CEO di Binance Changpeng Zhao (CZ), ci sono possibili hack su Ankr e Hay. Secondo l'analisi iniziale, la chiave privata dello sviluppatore è stata violata, il che ha consentito all'attaccante di manipolare uno smart contract Ankr.
Società di sicurezza blockchain PeckShield ha dichiarato tramite Twitter:
La nostra analisi mostra che il contratto token $aBNBc ha un mint bug illimitato. Nello specifico, mentre mint() è protetto con il modificatore onlyMinter, c'è un'altra funzione (w/ 0x3b3a5522 func. signature) che aggira completamente la verifica del chiamante per avere mint arbitrario!!!
In questo modo, l'attaccante è stato in grado di coniare 6 quadrilioni di token aBNBc, che ha convertito in circa 5 milioni di USDC. CZ ha informato che Binance ha sospeso i prelievi poche ore fa. Ha anche congelato circa $ 3 milioni che sono stati spostati su Binance dall'hacker.
Possibili hack su Ankr e Hay. L'analisi iniziale è che la chiave privata dello sviluppatore è stata violata e l'hacker ha aggiornato lo smart contract con uno più dannoso. Binance ha sospeso i prelievi poche ore fa. Ha anche congelato circa $ 3 milioni che gli hacker trasferiscono al nostro CEX.
- CZ 🔶 Binance (@cz_binance) Dicembre 2, 2022
Gli utenti di Binance non sono interessati da tutto il caos
Il prezzo del token aBNBc è crollato di quasi il 100% dall'exploit. Rapporti recenti suggeriscono che l'aggressore abbia già trasferito parte dei fondi rubati a Tornado Cash. Parte della criptovaluta saccheggiata è stata collegata tramite Celer e deBridgeGate, secondo la società di sicurezza PeckShield.
Quella stessa azienda aveva condotto qualche mese fa un audit per conto di Ankr, avvertendo di un “trust issue con admin keys” che privilegiava il conio di token aBNB. Sebbene il team di Ankr abbia "riconosciuto" l'avvertimento, sembra che lo facciano non l'ha risolto.
Proprio di recente, BNB Chain aveva introdotto la funzione di staking liquido tramite Ankr, che permetteva agli utenti di guadagnare interessi assegnando token BNB al contratto di staking liquido e ricevere aBNBc.
Tuttavia, Binance ha rapidamente dato il via libera, affermando che il team di BNB è in contatto con le parti interessate. "Questo non è un attacco contro #Binance e i tuoi fondi sono SAFU sul nostro scambio", ha affermato in una dichiarazione tramite Twitter.
Da quando l'hacker ha quasi completamente svuotato i pool di liquidità di aBNBc su PancakeSwap e ApeSwap, il prezzo di aBNBc è sceso del 99.5% dopo il sfruttare.
Il trader opportunista trasforma meno di $ 3k in $ 15.5 milioni
Secondo la società di analisi Lookonchain, un trader opportunista ha preso approfittando della situazione e realizzando un profitto di 15.5 milioni di BUSD con una puntata minima di 10 BNB.
Dopo che lo sfruttatore di Ankr ha scaricato aBNBc, il trader ha acquistato 183,885 aBNBc con solo 10 BNB per un valore di $ 2,879, quindi ha depositato 183,885 aBNBc con Helio come garanzia e ha preso in prestito 16 milioni di HAY. Alla fine, ha venduto 16 milioni di HAY e ha ricevuto 15.5 milioni di BUSD.
Di conseguenza, la stablecoin HAY ha visto un enorme depeg. Il prezzo della stablecoin è sceso a volte a $ 0.21, ma è comunque riuscito a risalire gradualmente a $ 0.61 al momento della stampa.
In particolare, Binance Labs ha effettuato un investimento strategico in Ankr nell'agosto 2022. L'investimento di Binance Labs aveva lo scopo di aiutare Ankr a migliorare ulteriormente il scalabilità delle reti blockchain.
Forse sulla scia della notizia, il prezzo di BNB ha registrato un calo del 3.1% e al momento della stampa era scambiato a 290$.
Fonte: https://bitcoinist.com/ankr-suffers-exploit-binance-ceo-clarify/