Com o foco da indústria criptográfica no fiasco do FTX, os hackers DeFi estão se divertindo, atingindo o Ankr e, conforme as informações disponíveis, roubando US$ 5 milhões.
Os hackers conseguiram explorar um bug de cunhagem ilimitado. O protocolo DeFi afirmou que está trabalhando com exchanges para mitigar o impacto do hack.
Ankr cai vítima de exploração
Ankr, um protocolo de finanças descentralizadas (DeFi) baseado em BNB Chain, confirmou que foi vítima de uma exploração multimilionária. O ataque ocorreu em 1º de dezembro e foi descoberto pelo analista de segurança on-chain PeckShield em 2 de dezembro. Ankr confirmou os acontecimentos logo depois, afirmando no Twitter que os hackers conseguiram explorar o token aBNB. Eles também anunciaram que estavam trabalhando com bolsas para interromper a negociação do token em questão.
“Nosso token aBNB foi explorado e atualmente estamos trabalhando com bolsas para interromper imediatamente as negociações.”
Detalhes do hack
De acordo com os detalhes disponíveis, o hacker conseguiu cunhar 20 trilhões de Ankr Reward Bearing Staked BNB (aBNBc) graças a uma vulnerabilidade no contrato inteligente do token.
“Nossa análise mostra que o contrato de token $ aBNBc tem um bug de mint ilimitado. Especificamente, enquanto mint() é protegido com o modificador onlyMinter, há outra função (w/ 0x3b3a5522 func. signature) que ignora completamente a verificação do chamador para ter mint arbitrário !!!”
PeckShield informou que o hacker havia transferido cerca de 900 BNB, no valor de cerca de US$ 253,000 para o Tornado Cash. Além disso, o explorador também conectou USDC e ETH ao blockchain Ethereum. De acordo com a PeckShield, o hacker possui 3000 ETH e cerca de 500,000 USDC.
Os 20 trilhões de tokens aBNBc mantidos pelo invasor os tornam o 13º maior detentor do token. O token aBNBc é o token de recompensa para tokens BNB apostados na plataforma Ankr.
Vulnerabilidades no código de contrato inteligente
A empresa de segurança Blockchain Beosin confirmou a origem da exploração, afirmando que provavelmente foi devido a vulnerabilidades no código do contrato inteligente, juntamente com chaves privadas comprometidas. Segundo Beosin, essas vulnerabilidades podem ter surgido de uma atualização técnica realizada pela Ankr.
“@ankr foi explorado. $aBNBc caiu -99.5%. O hacker cunhou toneladas de $ aBNBc e obteve um lucro de 5,500 BNB (~ $ 1.6 milhão). O implantador alterou o contrato de implementação para o endereço do contrato vulnerável antes do ataque (possivelmente devido ao comprometimento da chave privada).”
Um porta-voz da empresa de segurança declarou:
“É possível que a chave privada do implantador tenha sido exposta nesta atualização, levando um invasor a usar privilégios do implantador para modificar o contrato.”
Binance investigando o exploit
A Binance, em um post no dia 2 de dezembro, confirmou que sua equipe estava envolvida com a Ankr e outras partes relacionadas e estava investigando o assunto mais a fundo. Ele também acrescentou que nenhum fundo de usuário da Binance estava em risco.
“Estamos cientes do ataque direcionado ao token aBNBc de @ankr. Nossa equipe está envolvida com as partes relevantes e @BNBCHAIN para investigar mais. Este não é um ataque contra #Binance, e seus fundos são SAFU em nossa bolsa. Este tópico será atualizado caso haja alguma atualização.”
Quedas de preço de ANKR e BNB
Como resultado dos desenvolvimentos, tanto o ANKR quanto o BNB tiveram uma queda considerável no preço. No momento em que a notícia do exploit foi divulgada, o token ANKR caiu cerca de 6.6%, caindo para US$ 0.0211. No entanto, ele se recuperou e está sendo negociado atualmente a US$ 0.0216. O token já caiu mais de 90% em relação ao seu recorde histórico de US$ 0.213. O token BNB também caiu, caindo 3.1%. No entanto, esse declínio foi atribuído a um declínio mais amplo nos mercados de criptomoedas.
Os hacks de DeFi dispararam drasticamente nos últimos meses, com outubro se tornando o pior mês da história do DeFi. Vários protocolos DeFi, como o Serviço de Despertador Ethereum, Troca rápida do polígono, Mercados de manga, e outros, foram vítimas de façanhas.
Isenção de responsabilidade: este artigo é fornecido apenas para fins informativos. Não é oferecido ou tem a intenção de ser usado como aconselhamento jurídico, tributário, de investimento, financeiro ou outro.
Fonte: https://cryptodaily.co.uk/2022/12/defi-protocol-ankr-hit-by-multi-million-dollar-exploit