Mit dem Fokus der Kryptoindustrie auf das FTX-Fiasko haben sich DeFi-Hacker lustig gemacht, Ankr getroffen und laut verfügbaren Informationen 5 Millionen Dollar gestohlen.
Hacker konnten einen unbegrenzten Minting-Bug ausnutzen. Das DeFi-Protokoll gab an, mit Börsen zusammenzuarbeiten, um die Auswirkungen des Hacks abzuschwächen.
Ankr fällt der Ausbeutung zum Opfer
Ankr, ein auf der BNB-Kette basierendes dezentralisiertes Finanzprotokoll (DeFi), hat bestätigt, dass es einem millionenschweren Exploit zum Opfer gefallen ist. Der Angriff fand am 1. Dezember statt und wurde am 2. Dezember vom On-Chain-Sicherheitsanalysten PeckShield entdeckt. Ankr bestätigte die Entwicklungen kurz darauf und erklärte auf Twitter, dass es Hackern gelungen sei, den aBNB-Token auszunutzen. Sie gaben auch bekannt, dass sie mit Börsen zusammenarbeiten, um den Handel mit dem betreffenden Token einzustellen.
„Unser aBNB-Token wurde ausgenutzt, und wir arbeiten derzeit mit Börsen zusammen, um den Handel sofort einzustellen.“
Details zum Hack
Den vorliegenden Details zufolge konnte der Hacker dank einer Schwachstelle im Smart Contract für den Token 20 Billionen Ankr Reward Bearing Staked BNB (aBNBc) prägen.
„Unsere Analyse zeigt, dass der $aBNBc-Token-Vertrag einen unbegrenzten Mint-Bug hat. Während mint() mit dem OnlyMinter-Modifikator geschützt ist, gibt es eine andere Funktion (mit 0x3b3a5522-Funktionssignatur), die die Anruferüberprüfung vollständig umgeht, um beliebige Minze zu haben !!!”
PeckShield berichtete, dass der Hacker rund 900 BNB im Wert von rund 253,000 Dollar in Tornado Cash transferiert hatte. Darüber hinaus hat der Exploiter auch USDC und ETH mit der Ethereum-Blockchain überbrückt. Laut PeckShield hält der Hacker 3000 ETH und rund 500,000 USDC.
Die 20 Billionen aBNBc-Token im Besitz des Angreifers machen ihn zum 13. größten Inhaber des Tokens. Der aBNBc-Token ist der Belohnungs-Token für BNB-Token, die auf der Ankr-Plattform eingesetzt werden.
Schwachstellen im Smart Contract Code
Das Blockchain-Sicherheitsunternehmen Beosin bestätigte die Quelle des Exploits und erklärte, dass es wahrscheinlich auf Schwachstellen im Smart-Contract-Code sowie auf kompromittierte private Schlüssel zurückzuführen sei. Laut Beosin könnten diese Sicherheitslücken durch ein technisches Upgrade entstanden sein, das von Ankr durchgeführt wurde.
„@ankr wurde ausgenutzt. $aBNBc ist um -99.5 % gefallen. Der Hacker prägte Tonnen von $aBNBc und machte einen Gewinn von 5,500 BNB (~1.6 Millionen $). Der Deployer hat den Implementierungsvertrag vor dem Angriff auf die anfällige Vertragsadresse geändert (möglicherweise aufgrund einer Kompromittierung des privaten Schlüssels).“
Ein Sprecher der Sicherheitsfirma sagte:
„Es ist möglich, dass der private Schlüssel des Deployers bei diesem Upgrade offengelegt wurde, was dazu führte, dass ein Angreifer Deployer-Privilegien nutzte, um den Vertrag zu ändern.“
Binance untersucht den Exploit
Binance bestätigte in einem Beitrag vom 2. Dezember, dass sein Team mit Ankr und anderen verbundenen Parteien zusammenarbeitet und die Angelegenheit weiter untersucht. Es fügte auch hinzu, dass keine Binance-Benutzergelder gefährdet seien.
„Uns ist der Angriff auf den aBNBc-Token von @ankr bekannt. Unser Team arbeitet mit den relevanten Parteien und @BNBCHAIN zusammen, um weitere Nachforschungen anzustellen. Dies ist kein Angriff auf #Binance, und Ihre Gelder sind SAFU an unserer Börse. Dieser Thread wird aktualisiert, falls es Updates gibt.“
ANKR und BNB Preissenkungen
Als Folge der Entwicklungen erlebten sowohl ANKR als auch BNB einen erheblichen Preisverfall. Als die Nachricht über den Exploit bekannt wurde, fiel der ANKR-Token um etwa 6.6 % und fiel auf 0.0211 $. Seitdem hat es sich jedoch erholt und wird derzeit bei 0.0216 $ gehandelt. Der Token ist bereits über 90 % unter seinem Allzeithoch von 0.213 $. Der BNB-Token fiel ebenfalls und fiel um 3.1 %. Dieser Rückgang wurde jedoch einem breiteren Rückgang der Kryptomärkte zugeschrieben.
DeFi-Hacks waren in den letzten Monaten drastisch in die Höhe geschossen, wobei der Oktober zum schlimmsten Monat in der Geschichte von DeFi wurde. Mehrere DeFi-Protokolle, wie z Ethereum-Weckerdienst, QuickSwap von Polygon, Mango-Märkte, und andere wurden Opfer von Exploits.
Haftungsausschluss: Dieser Artikel dient nur zu Informationszwecken. Es wird nicht als Rechts-, Steuer-, Investitions-, Finanz- oder sonstige Beratung angeboten oder verwendet.
Quelle: https://cryptodaily.co.uk/2022/12/defi-protocol-ankr-hit-by-multi-million-dollar-exploit