DeFi პროტოკოლი Ankr Hit By Multi-Million Dollar Exploit

კრიპტო ინდუსტრიის ფოკუსირებით FTX ფიასკოზე, DeFi ჰაკერები მხიარულობდნენ, ურტყამდნენ Ankr-ს და არსებული ინფორმაციით, მოიპარეს 5 მილიონი დოლარი.

ჰაკერებმა შეძლეს გამოეყენებინათ შეუზღუდავი მოჭრის შეცდომა. DeFi-ის პროტოკოლში ნათქვამია, რომ ის მუშაობს ბირჟებთან ჰაკის გავლენის შესამცირებლად. 

Ankr Falls მსხვერპლი ექსპლუატაციისთვის 

Ankr, BNB Chain-ზე დაფუძნებული დეცენტრალიზებული ფინანსების (DeFi) პროტოკოლი, დაადასტურა, რომ იგი გახდა მრავალმილიონიანი დოლარის ექსპლუატაციის მსხვერპლი. თავდასხმა მოხდა 1 დეკემბერს და აღმოაჩინა უსაფრთხოების ანალიტიკოსმა PeckShield-მა 2 დეკემბერს. ანკრმა დაადასტურა განვითარებული მოვლენები მალევე და ტვიტერზე განაცხადა, რომ ჰაკერებმა მოახერხეს aBNB ტოკენის ექსპლუატაცია. მათ ასევე განაცხადეს, რომ მუშაობდნენ ბირჟებთან, რათა შეაჩერონ აღნიშნული ტოკენით ვაჭრობა. 

”ჩვენი aBNB ტოკენი იქნა ექსპლუატირებული და ჩვენ ამჟამად ვმუშაობთ ბირჟებთან, რათა დაუყოვნებლივ შევაჩეროთ ვაჭრობა.”

დეტალები Hack 

არსებული დეტალების მიხედვით, ჰაკერმა შეძლო დაეწერა 20 ტრილიონი Ankr Reward Bearing Staked BNB (aBNBc) ტოკენის სმარტ კონტრაქტში დაუცველობის გამო.

„ჩვენი ანალიზი აჩვენებს, რომ $aBNBc ტოკენის კონტრაქტს აქვს შეუზღუდავი პიტნის შეცდომა. კერძოდ, სანამ mint() დაცულია onlyMinter მოდიფიკატორით, არის კიდევ ერთი ფუნქცია (w/ 0x3b3a5522 func. signature), რომელიც მთლიანად გვერდს უვლის აბონენტის გადამოწმებას, რომ ჰქონდეს თვითნებური mint !!!”

PeckShield-მა იტყობინება, რომ ჰაკერმა Tornado Cash-ში გადაიტანა დაახლოებით 900 BNB, დაახლოებით $253,000. გარდა ამისა, ექსპლუატატორმა ასევე დააკავშირა USDC და ETH Ethereum ბლოკჩეინთან. PeckShield-ის თანახმად, ჰაკერი ფლობს 3000 ETH და დაახლოებით 500,000 USDC. 

20 ტრილიონი aBNBc ტოკენი, რომელსაც თავდამსხმელი ფლობს, აქცევს მათ მე-13 უმსხვილეს ტოკენის მფლობელს. aBNBc ჟეტონი არის ჯილდოს მომტანი ნიშანი Ankr პლატფორმაზე დადებული BNB ტოკენებისთვის. 

დაუცველობა Smart Contract Code 

ბლოკჩეინის უსაფრთხოების ფირმა Beosin-მა დაადასტურა ექსპლოიტის წყარო და თქვა, რომ ეს სავარაუდოდ გამოწვეული იყო სმარტ კონტრაქტის კოდის დაუცველობასთან ერთად დაზიანებულ პირად გასაღებებთან ერთად. ბეოსინის თქმით, ეს დაუცველობა შეიძლება აღმოცენებულიყო ანკრის მიერ განხორციელებული ტექნიკური განახლების შედეგად. 

„@ankr იქნა ექსპლუატირებული. $aBNBc დაეცა -99.5%. ჰაკერმა მოიპოვა ტონა $aBNBc და მიიღო 5,500 BNB (~ 1.6 მილიონი დოლარი) მოგება. განლაგებულმა შეცვალა განხორციელების ხელშეკრულება დაუცველი კონტრაქტის მისამართით თავდასხმამდე (შესაძლოა, პირადი გასაღების კომპრომისის გამო).

უსაფრთხოების ფირმის სპიკერმა განაცხადა,

„შესაძლებელია, რომ ამ განახლებაში გამშვების პირადი გასაღები იყო გამოვლენილი, რასაც მოჰყვა თავდამსხმელი, რომელიც გამოიყენებდა განლაგების პრივილეგიებს კონტრაქტის შესაცვლელად“. 

Binance იძიებს ექსპლოიტს 

Binance-მა 2 დეკემბერს გამოქვეყნებულ პოსტში დაადასტურა, რომ მისი გუნდი ჩართული იყო Ankr-თან და სხვა დაკავშირებულ მხარეებთან და ამ საკითხს შემდგომ იძიებდა. მან ასევე დაამატა, რომ Binance-ის მომხმარებლის სახსრები არ იყო რისკის ქვეშ. 

„ჩვენ ვიცით შეტევის შესახებ, რომელიც მიზნად ისახავს @ankr-ის aBNBc ტოკენს. ჩვენი გუნდი ჩართულია შესაბამის მხარეებთან და @BNBCHAIN-თან შემდგომი გამოსაძიებლად. ეს არ არის თავდასხმა #Binance-ზე და თქვენი სახსრები არის SAFU ჩვენს ბირჟაზე. ეს თემა განახლდება, თუ რაიმე განახლება იქნება. ”

ANKR და BNB ფასების ვარდნა 

განვითარებული მოვლენების შედეგად, როგორც ANKR-მა, ასევე BNB-მა ფასის მნიშვნელოვანი ვარდნა დაინახა. იმ დროს, როდესაც გავრცელდა ინფორმაცია ექსპლოიტის შესახებ, ANKR ტოკენი დაეცა დაახლოებით 6.6%-ით, დაეცა $0.0211-მდე. თუმცა, მას შემდეგ ის გამოჯანმრთელდა და ამჟამად ვაჭრობს 0.0216 დოლარად. ჟეტონი უკვე 90%-ზე მეტია დაკლებული მისი ყველა დროის მაქსიმუმ 0.213$-დან. BNB ტოკენიც დაეცა და 3.1%-ით დაეცა. თუმცა, ეს კლება გამოწვეული იყო კრიპტო ბაზრების უფრო ფართო კლებით. 

DeFi ჰაკერები მკვეთრად გაიზარდა ბოლო რამდენიმე თვის განმავლობაში, ოქტომბერი გახდა ყველაზე ცუდი თვე DeFi-ის ისტორიაში. რამდენიმე DeFi პროტოკოლი, როგორიცაა Ethereum მაღვიძარა სერვისი, პოლიგონის QuickSwap, მანგოს ბაზრებიდა სხვები გახდნენ ექსპლოიტეტების მსხვერპლი.

უარი პასუხისმგებლობაზე: ეს სტატია მოწოდებულია მხოლოდ ინფორმაციული მიზნებისთვის. ის არ არის შემოთავაზებული ან მიზნად ისახავს გამოყენებას იურიდიულ, საგადასახადო, საინვესტიციო, ფინანსურ ან სხვა რჩევად.