2 Aralık 12:35 GMT'de Peckshield, bir saldırgan tarafından bilgisayarda yapılan bir istismarı işaretledi. Ankr protokol. Açıktan yararlanma, protokolden 20 trilyon aBNBc ödül jetonu ile yol aldı.
Ankr Ödüllü Bahisli BNB (aBNBc) ödül getiren bir jetondur, yani miktarı staking anından itibaren aynı kalır. Jeton, ödül birikimi nedeniyle itfa oranı arttıkça değer kazanır.
Ankr tokeni piyasaya sürdü. Binance Ankr'da sıvı staking işlevi olarak zincir. Kullanıcılar BNB'lerini Akıllı sözleşmeye yatırarak faiz kazandılar ve payın kanıtı olarak aBNBc elde ettiler.
aBNBc para izini kovalamak
Göre bak zinciri, saldırgan Ankr konuşlandırıcısının anahtarlarını çaldı ve kendisine gönderdiği 10 trilyon aBNBc bastı. Daha sonra gaz ücretleri için 1.125BNB'yi adrese aktardı ve çalınan jetonları çöpe atmaya başladı.
Saldırgan, sözleşmeyi tekrar istismar etti ve 10 trilyon token daha bastı. İstismarlardan sonra, saldırgan BNB'ye para yıkamaya başladı ve Ethereum Tornado nakit aracılığıyla.
Tornado Cash, fonların kaynağını gizlemek için 'kirli' kripto para birimi fonlarını başkalarıyla birlikte yıkama hizmeti sunan merkezi olmayan, açık kaynaklı bir Akıllı sözleşmedir.
Saldırgan, çalınan fonları da Helio Money'e aktardı; fonları teminat olarak kullanarak 16 milyon $ HAY ödünç aldı ve bunu daha sonra 15.5 milyon $ BUSD'ye sattı. Saldırgan, birçok kez BNB karşılığında satılan $HAY ile benzer işlemleri tekrarladı.
Lookonchain tarafından 16 milyon dolarlık HAY istismar analizi.
Peckshield güvenlik firması, Ankr sözleşmesinin basım işlevinde bir hata olduğunu ortaya çıkardı. Sözleşmeye katıştırılmış bir w/ 0x3b3a5522 işlev imzası, OnlyMinter İşlevini atlayabilir ve rastgele basılabilir.
Peckshield ayrıca saldırganların Celer ve de BridgeGate aracılığıyla Ethereum ve Tornado cash'e köprü kurduğunu da kaydetti.
Ankr, hack'i kabul ederek Twitter'da tepki gösterdi ve hızlı bir şekilde token ticaretini durdurmak için borsaları bilgilendirdi. Onlar tavsiye token ticaretinden kaçınmak, borsalardan likidite çekmek ve yeni Tokenların ihracını gerekçe gösterdiler. Hareket, çalınan jetonları değersiz hale getirecektir.
Peckshield, mint işlevinden birden fazla açık olduğunu kaydetti.
Saldırganlar oldukça aktif kalır; blockchain istatistikler istismarcıları da gösteriyor kavrulmuş milyarlarca jeton.
Peckshield'a göre, bazı istismarcılar transfer USDC ve BUSD, istismardan Binance değiş tokuş. Binance'e akan fonların toplamı yaklaşık 19 milyon dolar.
Kaynak: https://www.cryptopolitan.com/ankr-protocol-exploited-trillions-of-abnbc/