Decentralizovaný poskytovateľ infraštruktúry Web3 Ankr sa v piatok pokúsil ubezpečiť svoju komunitu prvou odpoveďou krádež najmenej 5.5 milióna dolárov z fondov likvidity reťazca BNB a peňažných trhov.
Tím potvrdil, že ostatné produkty Ankr – vrátane validátorov, uzlov RPC a služieb AppChain – neboli ovplyvnené. To príde ako úľava pre držiteľov iných väčších stávkových derivátov Ankr, najmä aETHc – Ankr stakes ether – ktorý má trhovú kapitalizáciu približne 68 miliónov dolárov.
Útočník vytlačil celkovo 60 biliónov aBNBc v rámci 6 rôznych transakcií. Zlodej potom použil vyrazené, ale nekryté tokeny na odčerpanie likvidity z decentralizovaných búrz v reťazci BNB. Po otočení sa a kúpe depresívneho aBNBc sa útočníkovi podarilo prepadnúť protokol Helio na požičiavanie a požičiavanie tak, že vybral 16 miliónov dolárov v HAY, vlastný stablecoin protokolu a vymenil ho za 15.5 milióna BUSD, stabilný coin Binance vydaný spoločnosťou Paxos.
Pred zneužitím mal Helio uzamknutých 90 miliónov dolárov v celkovej hodnote, podľa DeFiLlama.
„Hacknutia a exploity od zlých hercov, ako je tento, sú nešťastnou možnosťou vo Web3, dokonca aj s každou pozornosťou venovanou detailom v bezpečnostných procesoch – ale boli sme dobre pripravení,“ povedal spoluzakladateľ a generálny riaditeľ Chandler Song vyhlásenie.
Odporúčaný „akčný plán“ vysvetľoval, ako môžu byť používatelia aBNBc kompenzovaní prostredníctvom nového tokenu ankrBNB, ktorý bude vyrazený a vypustený na základe snímky údajov z reťazca pred zneužitím.
Zatiaľ čo útok zjavne pochádza zo zlomyseľného použitia súkromného kľúča pre nasadzovanie inteligentných zmlúv aBNBc, nie je jasné, ako presne bol kľúč ohrozený. priemysel vyžadujú osvedčené postupy viacpodpisové peňaženky a časové zámky na upgradovateľných inteligentných zmluvách, aby sa zabránilo tomuto typu útoku.
Zástupcovia z Ankr nereagovali na žiadosť Blockworks o komentár.
Iní poskytovatelia likvidných stávok BNB, ako napríklad pSTAKE použite multisigs na ochranu citlivých zmlúv a obmedzenie prístupu k funkciám razenia tokenov, zatiaľ čo plne decentralizované dapp, ako je Uniswap na Ethereum, nie je možné aktualizovať vôbec.
Úplný rozsah vedľajších škôd ešte nie je jasný, ale Ankr vyjadril zámer na riešenie strát, ktoré vznikli zákazníkom súvisiacich DeFi dapps.
Napríklad Ankr bude kryť nedobytné pohľadávky spôsobené Helio protokolom, kým nebudú známe výsledky prebiehajúcich diskusií, podľa jeho oficiálny účet na Twitteri.
Získajte najlepšie denné kryptografické správy a štatistiky každý večer do svojej schránky. Prihláste sa na odber bezplatného bulletinu Blockworks teraz.
Zdroj: https://blockworks.co/news/ankr-exploit-causes-collateral-damage