De gedecentraliseerde Web3-infrastructuurprovider Ankr probeerde zijn gemeenschap vrijdag gerust te stellen met een eerste reactie op de diefstal van ten minste $ 5.5 miljoen van BNB Chain liquiditeitspools en geldmarkten.
Het team bevestigde dat de andere producten van Ankr, waaronder validators, RPC-nodes en AppChain-services, niet werden beïnvloed. Dat zal een opluchting zijn voor houders van Ankr's andere grotere staking-derivaten, met name aETHc - Ankr staked ether - die een marktkapitalisatie van ongeveer $ 68 miljoen heeft.
De aanvaller heeft in totaal 60 biljoen aBNBc geslagen in 6 verschillende transacties. De dief gebruikte vervolgens de geslagen, maar niet-ondersteunde tokens om liquiditeit af te voeren van gedecentraliseerde uitwisselingen op de BNB-keten. Nadat hij zich had omgedraaid en de depressieve aBNBc had gekocht, kon de aanvaller het leen- en uitleenprotocol Helio overvallen door $ 16 miljoen aan HAY, de aangepaste stablecoin van het protocol, op te nemen en te ruilen voor $ 15.5 miljoen BUSD, de Binance stablecoin uitgegeven door Paxos.
Voorafgaand aan de exploit had Helio $ 90 miljoen aan Total Value Locked, volgens DeFiLlama.
"Hacks en exploits van dit soort slechte actoren zijn een ongelukkige mogelijkheid in Web3, zelfs met alle aandacht voor detail in beveiligingsprocessen - maar we waren goed voorbereid", zei mede-oprichter en CEO Chandler Song in een verklaring.
Een aanbevolen "actieplan" legde uit hoe gebruikers van aBNBc kunnen worden gecompenseerd door middel van een nieuw ankrBNB-token dat zal worden geslagen en uitgezonden op basis van een pre-exploit snapshot van on-chain data.
Hoewel de aanval blijkbaar voortkomt uit kwaadwillig gebruik van de privésleutel voor de aBNBc smart contract-implementeerder, is het onduidelijk hoe de sleutel precies is gecompromitteerd. Industrie beste praktijken vragen om portefeuilles met meerdere handtekeningen en tijdsloten op uitbreidbare slimme contracten om dit soort aanvallen te voorkomen.
Vertegenwoordigers van Ankr reageerden niet op Blockworks verzoek om commentaar.
Andere aanbieders van liquide staked BNB zoals pSTAKE gebruik multisigs om gevoelige contracten te beschermen en de toegang tot token-muntfuncties te beperken, terwijl volledig gedecentraliseerde dapps zoals Uniswap op Ethereum helemaal niet kunnen worden geüpgraded.
De volledige omvang van de nevenschade is nog niet duidelijk, maar de Ankr sprak de intentie uit om verliezen op te lossen die zijn geleden door klanten van gerelateerde DeFi-dapps.
Ankr zal bijvoorbeeld dubieuze debiteuren dekken die zijn opgelopen door Helio Protocol, in afwachting van de uitkomst van lopende besprekingen, volgens diens officiële Twitter-account.
Ontvang elke avond het beste cryptonieuws en inzichten van de dag in je inbox. Abonneer u op de gratis nieuwsbrief van Blockworks .
Bron: https://blockworks.co/news/ankr-exploit-causes-collateral-damage