Con l'attenzione dell'industria delle criptovalute sul fiasco FTX, gli hacker DeFi si sono divertiti, colpendo Ankr e, secondo le informazioni disponibili, rubando $ 5 milioni.
Gli hacker sono stati in grado di sfruttare un bug di conio illimitato. Il protocollo DeFi ha dichiarato che sta lavorando con gli scambi per mitigare l'impatto dell'hacking.
Ankr cade vittima di sfruttamento
Ankr, un protocollo di finanza decentralizzata (DeFi) basato su BNB Chain, ha confermato di essere caduto vittima di un exploit multimilionario. L'attacco è avvenuto il 1° dicembre ed è stato scoperto dall'analista di sicurezza on-chain PeckShield il 2 dicembre. Ankr ha confermato gli sviluppi poco dopo, affermando su Twitter che gli hacker erano riusciti a sfruttare il token aBNB. Hanno anche annunciato che stavano lavorando con gli exchange per fermare il trading del token in questione.
"Il nostro token aBNB è stato sfruttato e attualmente stiamo lavorando con gli exchange per interrompere immediatamente il trading."
Dettagli dell'hack
Secondo i dettagli disponibili, l'hacker è stato in grado di coniare 20 trilioni di Ankr Reward Bearing Staked BNB (aBNBc) grazie a una vulnerabilità nello smart contract per il token.
“La nostra analisi mostra che il contratto token $aBNBc ha un mint bug illimitato. Nello specifico, mentre mint() è protetto con il modificatore onlyMinter, c'è un'altra funzione (w/ 0x3b3a5522 func. signature) che aggira completamente la verifica del chiamante per avere mint arbitrario!!!”
PeckShield ha riferito che l'hacker aveva trasferito circa 900 BNB, per un valore di circa $ 253,000, in Tornado Cash. Inoltre, lo sfruttatore ha anche collegato USDC ed ETH alla blockchain di Ethereum. Secondo PeckShield, l'hacker detiene 3000 ETH e circa 500,000 USDC.
I 20 trilioni di token aBNBc detenuti dall'attaccante ne fanno il 13° più grande detentore del token. Il token aBNBc è il token premiante per i token BNB puntati sulla piattaforma Ankr.
Vulnerabilità nel codice del contratto intelligente
La società di sicurezza blockchain Beosin ha confermato la fonte dell'exploit, affermando che probabilmente era dovuto a vulnerabilità nel codice del contratto intelligente, insieme a chiavi private compromesse. Secondo Beosin, queste vulnerabilità potrebbero essere emerse da un aggiornamento tecnico effettuato da Ankr.
“@ankr è stato sfruttato. $aBNBc è sceso del -99.5%. L'hacker ha coniato tonnellate di $ aBNBc e ha realizzato un profitto di 5,500 BNB (~ $ 1.6 milioni). Il deployer ha cambiato il contratto di implementazione con l'indirizzo del contratto vulnerabile prima dell'attacco (probabilmente a causa della compromissione della chiave privata)."
Un portavoce della società di sicurezza ha dichiarato:
"È possibile che la chiave privata del deployer sia stata esposta in questo aggiornamento, portando un utente malintenzionato a utilizzare i privilegi del deployer per modificare il contratto."
Binance indaga sull'exploit
Binance, in un post del 2 dicembre, ha confermato che il suo team era impegnato con Ankr e altre parti correlate e stava indagando ulteriormente sulla questione. Ha anche aggiunto che nessun fondo degli utenti di Binance era a rischio.
“Siamo a conoscenza dell'attacco contro il token aBNBc di @ankr. Il nostro team è impegnato con le parti interessate e @BNBCHAIN per indagare ulteriormente. Questo non è un attacco contro #Binance e i tuoi fondi sono SAFU sul nostro exchange. Questo thread verrà aggiornato in caso di aggiornamenti.
ANKR e BNB riduzioni di prezzo
Come risultato degli sviluppi, sia ANKR che BNB hanno visto un notevole calo del prezzo. Al momento della diffusione della notizia dell'exploit, il token ANKR è sceso di circa il 6.6%, scendendo a 0.0211$. Tuttavia, da allora si è ripreso ed è attualmente scambiato a 0.0216$. Il token è già in calo di oltre il 90% rispetto al suo massimo storico di $ 0.213. Anche il token BNB è sceso, perdendo il 3.1%. Tuttavia, questo declino è stato attribuito a un declino più ampio nei mercati delle criptovalute.
Gli attacchi alla DeFi sono aumentati drasticamente negli ultimi due mesi, con ottobre che è diventato il mese peggiore nella storia della DeFi. Diversi protocolli DeFi, come il Servizio sveglia di Ethereum, QuickSwap di Polygon, Mercati di mango, e altri, sono stati vittime di exploit.
Dichiarazione di non responsabilità: questo articolo viene fornito solo a scopo informativo. Non è offerto o destinato a essere utilizzato come consulenza legale, fiscale, di investimento, finanziaria o di altro tipo.
Fonte: https://cryptodaily.co.uk/2022/12/defi-protocol-ankr-hit-by-multi-million-dollar-exploit