Op 2 december, om 12:35 GMT, signaleerde Peckshield een exploit gemaakt door een aanvaller op Ankr protocol. De exploit maakte plaats voor 20 biljoen aBNBc-beloningstokens van het protocol.
Ankr Reward Bearing Staked BNB (aBNBc) is een beloningdragend token, wat betekent dat de hoeveelheid hetzelfde blijft vanaf het moment van staken. Het token waardeert naarmate de inwisselingsratio groeit vanwege de accumulatie van beloningen.
Ankr lanceerde het token op de Binance ketting als een vloeibare uitzetfunctie op Ankr. Gebruikers verdienden rente door hun BNB in te zetten op het Smart-contract en kregen aBNBc als bewijs van de inzet.
Op jacht naar het aBNBc-geldspoor
Think Kijk op ketting, stal de aanvaller sleutels van de Ankr-implementator en sloeg 10 biljoen aBNBc die hij naar zichzelf stuurde. Later maakte hij 1.125 BNB over naar het adres voor gaskosten en begon de gestolen tokens te dumpen.
De aanvaller maakte opnieuw misbruik van het contract en sloeg nog eens 10 biljoen tokens. Na de uitbuitingen begon de aanvaller geld in BNB te spoelen en Ethereum via Tornado-geld.
Tornado Cash is een gedecentraliseerd, open-source Smart-contract dat de service biedt om 'bedorven' cryptocurrency-fondsen met anderen te wassen om de bron van het geld te verdoezelen.
De aanvaller maakte ook het gestolen geld over naar Helio Money; met het geld als onderpand leende hij $ 16 miljoen HAY, die hij later verkocht voor $ 15.5 miljoen BUSD. De aanvaller herhaalde meerdere keren soortgelijke transacties met $HAY verkocht voor BNB.
$ 16 miljoen HAY-exploitanalyse door Lookonchain.
Beveiligingsbedrijf Peckshield onthulde dat het Ankr-contract een bug bevatte in de muntfunctie. Een w/ 0x3b3a5522-functiehandtekening ingebed in het contract kan de OnlyMinter-functie omzeilen en willekeurige mint hebben.
Peckshield merkte ook op dat de aanvallers geld via Celer en de BridgeGate overbrugden naar Ethereum en Tornado-geld.
Ankr reageerde op Twitter door de hack te erkennen en snel exchanges op de hoogte te stellen om de tokentransacties te stoppen. Zij adviseerde hun gemeenschap om te voorkomen dat de tokens worden verhandeld, liquiditeit van beurzen wordt onttrokken en de uitgifte van nieuwe tokens aanhaalt. De verhuizing zou de gestolen tokens waardeloos maken.
Peckshield merkte meerdere exploits op van de mint-functie.
De aanvallers blijven zeer actief; blockchain statistieken geven ook de uitbuiters aan verbrand miljarden tokens.
Volgens Peckshield enkele uitbuiters overgedragen USDC en BUSD spoelden van de exploit naar de Binance aandelenbeurs. Het weggespoelde geld in Binance bedraagt in totaal ongeveer $ 19 miljoen.
Bron: https://www.cryptopolitan.com/ankr-protocol-exploited-trillions-of-abnbc/