2 დეკემბერს, GMT 12:35 საათზე, Peckshield-მა მონიშნა თავდამსხმელის მიერ განხორციელებული ექსპლოიტი. ანკრ ოქმი. ექსპლუატმა გზა გაიარა პროტოკოლიდან 20 ტრილიონი aBNBc ჯილდოს ტოკენით.
Ankr Reward Bearing Staked BNB (aBNBc) არის ჯილდოს მომტანი ნიშანი, რაც ნიშნავს, რომ მისი რაოდენობა უცვლელი რჩება დადების მომენტიდან. ჟეტონი ფასდება, როდესაც მისი გამოსყიდვის კოეფიციენტი იზრდება ჯილდოს დაგროვების გამო.
ანკრმა გაუშვა ჟეტონი ბინას ჯაჭვი, როგორც თხევადი დაწყობის ფუნქცია ანკრზე. მომხმარებლებმა პროცენტი მიიღეს სმარტ კონტრაქტზე თავიანთი BNB ფსონებით და მიიღეს aBNBc, როგორც ფსონის დადასტურება.
დევნა aBNBc ფულის ბილიკს
მიხედვით Lookonchain, თავდამსხმელმა Ankr-ის განლაგების გასაღებები მოიპარა და 10 ტრილიონი aBNBc მოჭრა, რომელიც მან საკუთარ თავს გაუგზავნა. მოგვიანებით მან გადარიცხა 1.125 BNB მისამართზე გაზის გადასახადისთვის და დაიწყო მოპარული ტოკენების გადაყრა.
თავდამსხმელმა კვლავ გამოიყენა კონტრაქტი და 10 ტრილიონი მეტი ჟეტონი მოიჭრა. ექსპლუატაციის შემდეგ, თავდამსხმელმა დაიწყო ფულის რეცხვა BNB-ში და Ethereum ტორნადოს ნაღდი ფულით.
Tornado Cash არის დეცენტრალიზებული, ღია კოდის სმარტ კონტრაქტი, რომელიც უზრუნველყოფს „დაბინძურებული“ კრიპტოვალუტის სახსრების სხვებთან ერთად გარეცხვის სერვისს, რათა დაიფაროს სახსრების წყარო.
თავდამსხმელმა მოპარული თანხები Helio Money-საც გადაურიცხა; სახსრების გირაოს გამოყენებით, მან ისესხა 16 მილიონი აშშ დოლარი HAY, რომელიც მოგვიანებით გაყიდა 15.5 მილიონ დოლარად. თავდამსხმელმა რამდენჯერმე გაიმეორა მსგავსი ტრანზაქციები BNB-ზე გაყიდული $HAY-ით.
$16M HAY ექსპლოიტის ანალიზი Lookonchain-ის მიერ.
Peckshield-ის უსაფრთხოების ფირმამ გამოავლინა, რომ Ankr-ის კონტრაქტს ჰქონდა ხარვეზი მისი მოჭრის ფუნქციაში. 0x3b3a5522 ფუნქციის ხელმოწერა, რომელიც ჩართულია კონტრაქტში, შეუძლია გვერდის ავლით OnlyMinter ფუნქციას და ჰქონდეს თვითნებური ზარალი.
პეკშილდმა ასევე აღნიშნა, რომ თავდამსხმელებმა თანხები გადაანაწილეს Celer-ის და de BridgeGate-ის მეშვეობით Ethereum-ისა და Tornado-ს ნაღდი ფულისკენ.
Ankr-მა Twitter-ზე გამოეხმაურა ჰაკინგის აღიარებით და სწრაფად აცნობა ბირჟებს, რომ შეაჩერონ ტოკენის ვაჭრობა. მათ ურჩია მათ საზოგადოებამ თავიდან აიცილოს ტოკენებით ვაჭრობა, ამოიღოს ლიკვიდობა ბირჟებიდან და დაასახელა ახალი ტოკენების გამოშვება. ეს ნაბიჯი მოპარულ ტოკენებს უფასურს გახდის.
პეკშილდმა აღნიშნა მრავალი ექსპლოიატი ზარაფხანის ფუნქციიდან.
თავდამსხმელები კვლავ აქტიურები არიან; blockchain სტატისტიკა ასევე მიუთითებს ექსპლუატატორებზე დამწვარი მილიარდობით ჟეტონი.
Peckshield-ის თანახმად, ზოგიერთი ექსპლუატატორი გადაეცემა USDC, და BUSD გარეცხილი ექსპლოიტიდან ბინას გაცვლა. Binance-ში გარეცხილი თანხები დაახლოებით $19 მილიონია.
წყარო: https://www.cryptopolitan.com/ankr-protocol-exploited-trillions-of-abnbc/