BNB Zinciri tabanlı merkezi olmayan finans (DeFi) protokolü Ankr, 1 Aralık’ta multi-milyon dolarlık bir istismara uğradığını doğruladı.
Saldırı ilk gibi görünüyordu keşfetti zincir üstü güvenlik analisti PeckShield tarafından 2 Aralık 12:35 UTC civarında.
Saldırıdan sonraki bir saat içinde Ankr, Twitter’da aBNB jetonunun istismar edildiğini ve tehlikeye atılan jetonun ticaretini derhal durdurmak için borsalarla birlikte çalıştığını doğruladı.
aBNB jetonumuz istismar edildi ve şu anda ticareti derhal durdurmak için borsalarla çalışıyoruz.
— Ankr (@ankr) 2 Aralık 2022
Saldırganın, protokolde stake edilmiş BNB (BNB) için ödül getiren bir token olan 20 trilyon Ankr Ödüllü Bahisli BNB’yi (aBNBc) basabildiği iddia ediliyor.
Zincir üstü analiz firması Lookonchain’in bir Twitter gönderisine göre, istismarcı o zamandan beri Uniswap, Tornado Cash ve çeşitli köprüler gibi hizmetleri, yaklaşık 5 milyon dolar değerinde USD Coin (USDC) kazanmak için fonları takas etmek ve gizlemek için kullandı.
aynı zamanda katma Bir sonraki gönderide “Ankr Staking’teki tüm temel varlıklar şu anda güvende ve tüm altyapı hizmetleri etkilenmedi.”
Öyle görünüyor @ankr Bir saat önce hacklendi!
İstismarcı 20T aBNBc bastı ve üzerine döktü #PancakeTakas.
Şu anda, sömürücü, 5 milyondan fazla parayı başarıyla değiştirdi. $USDC. pic.twitter.com/XIPjBi6wvs
— Lookonchain (@lookonchain) 2 Aralık 2022
Cointelegraph’a saldırıyla ilgili yaptığı açıklamalarda, blockchain güvenlik firması Beosin, istismarın büyük olasılıkla akıllı sözleşme kodundaki güvenlik açıkları ile birlikte ele geçirilmiş özel anahtarlardan kaynaklandığını öne sürdü. gelmek Ankr ekibi tarafından yaklaşık 12 saat önce yapılan teknik güncellemeden.
Beosin ayrıca, CoinMarketCap’ten alınan verilere göre, toplu para basma olayının aBNBc fiyatının birkaç saat içinde %99,5 düşerek 303,89 dolardan 1,53 dolara düşmesine neden olduğunu kaydetti.
@ankr istismar edilmiştir. $aBNBc -%99,5 düştü.
Bilgisayar korsanı tonlarca bastı $aBNBc ve 5.500 BNB (~1,6 milyon $) kar elde etti
Dağıtıcı, uygulama sözleşmesini saldırıdan önce güvenlik açığı bulunan sözleşme adresiyle değiştirdi (muhtemelen özel anahtarın ele geçirilmesi nedeniyle). pic.twitter.com/GJheXh0oDp— Beosin Uyarısı (@BeosinAlert) 2 Aralık 2022
Cointelegraph’a konuşan bir Beosin sözcüsü, “Dağıtıcının özel anahtarının bu yükseltmede açığa çıkmış olması ve bir saldırganın konuşlayıcı ayrıcalıklarını kullanarak sözleşmeyi değiştirmesine yol açması olasıdır.”
2 Aralık tarihli bir Twitter gönderisinde, kripto borsası Binance onaylanmış ekibi, konuyu daha ayrıntılı araştırmak için ilgili taraflarla görüşürken, Binance’in kullanıcı fonlarının risk altında olmadığını da sözlerine ekledi. BNB Zinciri Twitter sayfası da istismarcının cüzdan adresinin kara listeye alındığını belirtti.
Saldırının farkındayız @ankr‘nin aBNBc’si bugün erken saatlerde gerçekleşti ve önemli miktarda yeni aBNBc’nin basılmasına yol açtı. İstismarcı kara listeye alındı.
Topluluğumuz bunun üzerinde, bir yanıtı koordine ediyor. Kullanılabilir olduklarında daha fazla güncelleme sağlayacağız.— BNB Zinciri (@BNBCHAIN) 2 Aralık 2022
Cointelegraph, açık ilk keşfedildiğinde Ankr ile iletişime geçti ancak hemen bir yanıt alamadı.
Güncelleme 4:30am UTC 2 Aralık: Beosin’in Ankr yorumlarından resmi bir açıklamaya eklendi.
2 Aralık 05:30 UTC Güncellemesi: Binance’in BNB Zinciri Twitter hesabından bir açıklama eklendi.