Ankr 프로토콜은 공격자에 의해 수조 개의 aBNBc를 악용했습니다.

2월 12일 35:XNUMX GMT에 Peckshield는 공격자가 만든 익스플로잇을 앤 크 규약. 이 익스플로잇은 프로토콜에서 20조 개의 aBNBc 보상 토큰으로 이루어졌습니다.

Ankr Reward Bearing Staked BNB(aBNBc)는 보상을 받는 토큰으로, 스테이킹한 순간부터 수량이 동일하게 유지됩니다. 토큰은 보상 누적으로 인해 상환 비율이 증가함에 따라 가치가 상승합니다.

Ankr은 다음에서 토큰을 출시했습니다. 바이낸스 Ankr에서 액체 스테이킹 기능으로 체인. 사용자는 BNB를 스마트 계약에 스테이킹하여 이자를 얻었고 지분 증명으로 aBNBc를 얻었습니다. 

aBNBc 머니 트레일 추적

에 따르면 룩온체인, 공격자는 Ankr 배포자로부터 키를 훔쳐 자신에게 보낸 10조 aBNBc를 발행했습니다. 그는 나중에 1.125BNB를 가스 수수료 주소로 이체하고 훔친 토큰을 버리기 시작했습니다.

공격자는 계약을 다시 악용하여 10조 개 이상의 토큰을 발행했습니다. 악용 후 공격자는 돈을 BNB로 세탁하기 시작했고 이더리움 토네이도 현금을 통해.

Tornado Cash는 자금 출처를 가리기 위해 다른 사람들과 함께 '오염된' 암호화폐 자금을 세척하는 서비스를 제공하는 탈중앙화 오픈 소스 스마트 계약입니다.

공격자는 또한 훔친 자금을 Helio Money로 이체했습니다. 자금을 담보로 사용하여 그는 $16M HAY를 빌렸고 나중에 $15.5M BUSD에 판매했습니다. 공격자는 BNB에 판매된 $HAY와 유사한 거래를 여러 차례 반복했습니다.

Lookonchain의 $16M HAY 익스플로잇 분석.

Peckshield 보안 회사는 Ankr 계약에 발행 기능에 버그가 있다고 밝혔습니다. 계약에 포함된 0x3b3a5522 기능 서명은 OnlyMinter 기능을 우회하고 임의 민트를 가질 수 있습니다. 

Peckshield는 또한 공격자가 Celer 및 de BridgeGate를 통해 자금을 Ethereum 및 Tornado 현금으로 연결했다고 언급했습니다. 

Ankr은 트위터에서 해킹 사실을 인정하고 신속하게 거래소에 토큰 거래를 중단하라고 알렸습니다. 그들 조언받은 그들의 커뮤니티는 토큰 거래를 피하고, 거래소에서 유동성을 인출하고, 새로운 토큰 발행을 인용했습니다. 이러한 움직임은 도난당한 토큰을 무가치하게 만들 것입니다.

Peckshield는 민트 기능의 여러 익스플로잇을 발견했습니다. 

공격자는 매우 활동적인 상태를 유지합니다. blockchain 통계는 착취자도 나타냅니다 탄 수십억 개의 토큰.

Peckshield에 따르면 일부 착취자는 전송 USDC 및 BUSD는 익스플로잇에서 바이낸스 교환. 바이낸스로 워싱된 자금은 총액 약 19만 달러입니다.  

Binance CEO Changoeng Zhao(CZ)는 익스플로잇이 바이낸스로 이동한 3만 달러 자금이 인출이 일시 중지된 상태로 동결되었음을 언급하면서 익스플로잇을 일찍이 인정했습니다. 그는 악용자가 계약에 대한 개인 키를 훔치는 데 성공했다고 언급했습니다.

Ankr 및 Hay에 대한 가능한 해킹. 초기 분석은 개발자 개인 키가 해킹되었고 해커가 스마트 계약을 더 악의적인 것으로 업데이트한 것입니다. Binance는 몇 시간 전에 인출을 일시 중지했습니다. 또한 해커가 우리 CEX로 이동하는 약 3만 달러를 동결했습니다.

— CZ 🔶 바이 낸스 (@cz_binance) 2022 년 12 월 2 일

Ankr 프로토콜 익스플로잇의 영향

그리니치 표준시 오전 2시에 aBNBc 가격은 익스플로잇 이후 00% 하락했습니다. Ankr 팀이 문제를 해결하고 영향을 받는 거래자에게 환불하기 위해 노력하면서 지금까지 다양한 거래소에서 거래가 일시 중지되었습니다.

이 익스플로잇은 스테이블 코인인 HAY에 영향을 미쳤으며 지난 35시간 동안 24% 하락했으며 $0.6434에 거래되었습니다. 정점에서 $0.2113까지 떨어졌습니다.

Ankr은 지난 0.02168시간 동안 3.93달러 하락한 $24에 거래되고 있습니다. BNB는 상대적으로 안정적인 상태를 유지하고 있으며 $290.4에 거래되고 있습니다.

상황이 전개됨에 따라 관련 당사자의 지속적인 업데이트를 기대할 수 있습니다. Binance와 Ankr은 사건에 대해 뜨겁습니다. Binance는 분석가가 추적을 위해 도난당한 자금을 할당하는 동안 거래소로 전송된 자금을 동결할 것입니다.

Ankr 프로토콜은 일련의 다른 프로토콜에 합류합니다. DeFi 2022년 익스플로잇. 분석 Chainalysis가 만든 2022년 DeFi 익스플로잇 수는 지금까지 $800M 이상의 투자자 자금을 출혈시킨 사상 최고치를 기록했습니다.