2월 12일 35:XNUMX GMT에 Peckshield는 공격자가 만든 익스플로잇을 앤 크 규약. 이 익스플로잇은 프로토콜에서 20조 개의 aBNBc 보상 토큰으로 이루어졌습니다.
Ankr Reward Bearing Staked BNB(aBNBc)는 보상을 받는 토큰으로, 스테이킹한 순간부터 수량이 동일하게 유지됩니다. 토큰은 보상 누적으로 인해 상환 비율이 증가함에 따라 가치가 상승합니다.
Ankr은 다음에서 토큰을 출시했습니다. 바이낸스 Ankr에서 액체 스테이킹 기능으로 체인. 사용자는 BNB를 스마트 계약에 스테이킹하여 이자를 얻었고 지분 증명으로 aBNBc를 얻었습니다.
aBNBc 머니 트레일 추적
에 따르면 룩온체인, 공격자는 Ankr 배포자로부터 키를 훔쳐 자신에게 보낸 10조 aBNBc를 발행했습니다. 그는 나중에 1.125BNB를 가스 수수료 주소로 이체하고 훔친 토큰을 버리기 시작했습니다.
공격자는 계약을 다시 악용하여 10조 개 이상의 토큰을 발행했습니다. 악용 후 공격자는 돈을 BNB로 세탁하기 시작했고 이더리움 토네이도 현금을 통해.
Tornado Cash는 자금 출처를 가리기 위해 다른 사람들과 함께 '오염된' 암호화폐 자금을 세척하는 서비스를 제공하는 탈중앙화 오픈 소스 스마트 계약입니다.
공격자는 또한 훔친 자금을 Helio Money로 이체했습니다. 자금을 담보로 사용하여 그는 $16M HAY를 빌렸고 나중에 $15.5M BUSD에 판매했습니다. 공격자는 BNB에 판매된 $HAY와 유사한 거래를 여러 차례 반복했습니다.
Lookonchain의 $16M HAY 익스플로잇 분석.
Peckshield 보안 회사는 Ankr 계약에 발행 기능에 버그가 있다고 밝혔습니다. 계약에 포함된 0x3b3a5522 기능 서명은 OnlyMinter 기능을 우회하고 임의 민트를 가질 수 있습니다.
Peckshield는 또한 공격자가 Celer 및 de BridgeGate를 통해 자금을 Ethereum 및 Tornado 현금으로 연결했다고 언급했습니다.
Ankr은 트위터에서 해킹 사실을 인정하고 신속하게 거래소에 토큰 거래를 중단하라고 알렸습니다. 그들 조언받은 그들의 커뮤니티는 토큰 거래를 피하고, 거래소에서 유동성을 인출하고, 새로운 토큰 발행을 인용했습니다. 이러한 움직임은 도난당한 토큰을 무가치하게 만들 것입니다.
Peckshield는 민트 기능의 여러 익스플로잇을 발견했습니다.
공격자는 매우 활동적인 상태를 유지합니다. blockchain 통계는 착취자도 나타냅니다 탄 수십억 개의 토큰.
Peckshield에 따르면 일부 착취자는 전송 USDC 및 BUSD는 익스플로잇에서 바이낸스 교환. 바이낸스로 워싱된 자금은 총액 약 19만 달러입니다.
출처: https://www.cryptopolitan.com/ankr-protocol-exploited-trillions-of-abnbc/