DeFi Protocol Ankr getroffen door misbruik van meerdere miljoenen dollars

Met de focus van de crypto-industrie op het FTX-fiasco, hebben DeFi-hackers plezier gemaakt, Ankr geraakt en volgens beschikbare informatie $ 5 miljoen gestolen.

Hackers waren in staat om een ​​onbeperkte minting-bug uit te buiten. Het DeFi-protocol verklaarde dat het werkt met uitwisselingen om de impact van de hack te verminderen. 

Ankr valt slachtoffer om te exploiteren 

Ankr, een BNB Chain-gebaseerd protocol voor gedecentraliseerde financiering (DeFi), heeft bevestigd dat het het slachtoffer is geworden van een misbruik van meerdere miljoenen dollars. De aanval vond plaats op 1 december en werd op 2 december ontdekt door beveiligingsanalist PeckShield. Ankr bevestigde de ontwikkelingen kort daarna en stelde op Twitter dat hackers het aBNB-token hadden weten te misbruiken. Ze kondigden ook aan dat ze met beurzen werkten om de handel in het betreffende token te stoppen. 

"Ons aBNB-token is misbruikt en we werken momenteel samen met beurzen om de handel onmiddellijk stop te zetten."

Details van de hack 

Volgens de beschikbare details was de hacker in staat om 20 biljoen Ankr Reward Bearing Staked BNB (aBNBc) te slaan dankzij een kwetsbaarheid in het slimme contract voor het token.

“Onze analyse toont aan dat het $aBNBc-tokencontract een ongelimiteerde mint-bug heeft. In het bijzonder, terwijl mint() wordt beschermd met alleen de Minter-modifier, is er een andere functie (met 0x3b3a5522 func.-handtekening) die de verificatie van de beller volledig omzeilt om willekeurige mint te hebben !!!

PeckShield meldde dat de hacker ongeveer 900 BNB, ter waarde van ongeveer $ 253,000, had overgemaakt naar Tornado Cash. Bovendien heeft de uitbuiter ook USDC en ETH overbrugd naar de Ethereum-blockchain. Volgens PeckShield heeft de hacker 3000 ETH en ongeveer 500,000 USDC. 

De 20 biljoen aBNBc-tokens die de aanvaller in handen heeft, maken hem tot de 13e grootste houder van het token. Het aBNBc-token is het beloningdragende token voor BNB-tokens die op het Ankr-platform zijn ingezet. 

Kwetsbaarheden in de slimme contractcode 

Blockchain-beveiligingsbedrijf Beosin bevestigde de bron van de exploit en verklaarde dat deze waarschijnlijk te wijten was aan kwetsbaarheden in de slimme contractcode, samen met gecompromitteerde privésleutels. Volgens Beosin zouden deze kwetsbaarheden zijn voortgekomen uit een technische upgrade uitgevoerd door Ankr. 

“@ankr is uitgebuit. $aBNBc is met -99.5% gedaald. De hacker verdiende tonnen $aBNBc en maakte een winst van 5,500 BNB (~$1.6 miljoen). De exploitant heeft het implementatiecontract gewijzigd in het adres van het kwetsbare contract vóór de aanval (mogelijk als gevolg van een gecompromitteerde privésleutel).'

Dat meldt een woordvoerder van het beveiligingsbedrijf.

"Het is mogelijk dat de privésleutel van de implementer bij deze upgrade is vrijgegeven, waardoor een aanvaller de privileges van de implementer heeft gebruikt om het contract te wijzigen." 

Binance onderzoekt de exploit 

Binance bevestigde in een bericht op 2 december dat het team betrokken was bij Ankr en andere gerelateerde partijen en de zaak verder aan het onderzoeken was. Het voegde er ook aan toe dat er geen Binance-gebruikersfondsen in gevaar waren. 

“We zijn op de hoogte van de aanval op het aBNBc-token van @ankr. Ons team is bezig met de relevante partijen en @BNBCHAIN ​​om verder onderzoek te doen. Dit is geen aanval op #Binance en uw geld is SAFU op onze beurs. Deze thread zal worden bijgewerkt als er updates zijn.

ANKR en BNB prijsdalingen 

Als gevolg van de ontwikkelingen zagen zowel ANKR als BNB een flinke koersdaling. Op het moment dat het nieuws van de exploit bekend werd, daalde het ANKR-token met ongeveer 6.6% tot $0.0211. Sindsdien is het echter hersteld en wordt het momenteel verhandeld tegen $ 0.0216. Het token is al meer dan 90% gedaald ten opzichte van zijn hoogste punt ooit van $ 0.213. Het BNB-token daalde ook en daalde met 3.1%. Deze daling werd echter toegeschreven aan een bredere daling van de cryptomarkten. 

DeFi-hacks waren de afgelopen maanden drastisch toegenomen, waarbij oktober de slechtste maand in de DeFi-geschiedenis werd. Verschillende DeFi-protocollen, zoals de Ethereum-wekkerservice, QuickSwap van Polygon, Mango-markten, en anderen, werden het slachtoffer van exploits.

Disclaimer: dit artikel is alleen bedoeld voor informatieve doeleinden. Het wordt niet aangeboden en is niet bedoeld om te worden gebruikt als juridisch, fiscaal, investerings-, financieel of ander advies.