DeFi 프로토콜 Ankr, 수백만 달러 규모 악용

FTX 실패에 대한 암호화폐 산업의 초점으로 DeFi 해커는 Ankr을 공격하고 사용 가능한 정보에 따라 5만 달러를 훔쳐갔습니다.

해커는 무제한 채굴 버그를 악용할 수 있었습니다. DeFi 프로토콜은 해킹의 영향을 완화하기 위해 거래소와 협력하고 있다고 밝혔습니다. 

Ankr Falls 피해자가 착취하다 

BNB 체인 기반 탈중앙화 금융(DeFi) 프로토콜인 Ankr이 수백만 달러 규모의 악용에 희생되었음을 확인했습니다. 이 공격은 1월 2일에 발생했으며 XNUMX월 XNUMX일 온체인 보안 분석가 PeckShield에 의해 발견되었습니다. Ankr은 해커가 aBNB 토큰을 악용할 수 있었다고 트위터에 언급하면서 곧 발전 상황을 확인했습니다. 그들은 또한 해당 토큰의 거래를 중단하기 위해 거래소와 협력하고 있다고 발표했습니다. 

"우리 aBNB 토큰이 악용되었으며 현재 거래를 즉시 중단하기 위해 거래소와 협력하고 있습니다."

해킹의 세부 사항 

사용 가능한 세부 정보에 따르면 해커는 토큰에 대한 스마트 계약의 취약성 덕분에 20조 Ankr Reward Bearing Staked BNB(aBNBc)를 발행할 수 있었습니다.

“우리의 분석에 따르면 $aBNBc 토큰 계약에는 무제한 민트 버그가 있습니다. 특히, mint()는 onlyMinter 수정자로 보호되지만 호출자 확인을 완전히 우회하여 임의의 mint를 갖는 또 다른 함수(0x3b3a5522 func. 서명 포함)가 있습니다!!!”

PeckShield는 해커가 약 $900 상당의 약 253,000 BNB를 Tornado Cash로 이체했다고 보고했습니다. 또한 익스플로러는 USDC와 ETH를 이더리움 블록체인에 연결했습니다. PeckShield에 따르면 해커는 3000 ETH와 약 500,000 USDC를 보유하고 있습니다. 

공격자가 보유한 20조 개의 aBNBc 토큰은 13번째로 큰 토큰 보유자가 되었습니다. aBNBc 토큰은 Ankr 플랫폼에 스테이킹된 BNB 토큰에 대한 보상을 제공하는 토큰입니다. 

스마트 계약 코드의 취약점 

블록체인 보안업체 베오신은 해킹된 개인 키와 함께 스마트 컨트랙트 코드의 취약성 때문일 가능성이 높다며 익스플로잇의 출처를 확인했습니다. Beosin에 따르면 이러한 취약점은 Ankr에서 수행한 기술 업그레이드에서 나타날 수 있습니다. 

“@ankr이 악용되었습니다. $aBNBc는 -99.5% 하락했습니다. 해커는 엄청난 양의 aBNBc를 발행하고 5,500 BNB(~1.6만 달러)의 이익을 챙겼습니다. 배포자는 공격 전에 취약한 계약 주소로 구현 계약을 변경했습니다(아마도 개인 키 손상으로 인해).”

보안 회사 대변인은 다음과 같이 말했습니다.

"배포자의 개인 키가 이번 업그레이드에서 노출되어 공격자가 배포자 권한을 사용하여 계약을 수정하도록 유도했을 가능성이 있습니다." 

익스플로잇을 조사하는 바이낸스 

바이낸스는 2월 XNUMX일 게시물을 통해 자사 팀이 Ankr 및 기타 관련 당사자와 협력하고 있으며 이 문제를 추가로 조사하고 있음을 확인했습니다. 또한 Binance 사용자 자금이 위험에 처하지 않았다고 덧붙였습니다. 

“@ankr의 aBNBc 토큰을 노린 공격을 인지하고 있습니다. 우리 팀은 추가 조사를 위해 관련 당사자 및 @BNBCHAIN과 협력하고 있습니다. 이것은 #Binance에 대한 공격이 아니며 귀하의 자금은 우리 거래소에서 SAFU입니다. 이 스레드는 업데이트가 있으면 업데이트됩니다.”

ANKR 및 BNB 가격 하락 

개발 결과 ANKR과 BNB 모두 상당한 가격 하락을 보였습니다. 악용 소식이 전해진 당시 ANKR 토큰은 약 6.6% 하락하여 $0.0211로 떨어졌습니다. 그러나 이후 회복되어 현재 $0.0216에 거래되고 있습니다. 토큰은 사상 최고치인 $90에서 이미 0.213% 이상 하락했습니다. BNB 토큰도 3.1% 하락했습니다. 그러나 이러한 하락은 암호화폐 시장의 광범위한 하락에 기인합니다. 

DeFi 해킹은 지난 몇 달 동안 급격히 증가했으며 XNUMX월은 DeFi 역사상 최악의 달이 되었습니다. 다음과 같은 여러 DeFi 프로토콜 이더리움 알람 시계 서비스, 폴리곤의 QuickSwap, Mango 시장, 그리고 다른 사람들은 착취의 희생양이 되었습니다.

면책 조항 :이 문서는 정보 제공 목적으로 만 제공됩니다. 법률, 세금, 투자, 재정 또는 기타 조언으로 제공되거나 사용되도록 의도되지 않았습니다.