Ankr & Helio - REKT

Ankr - Helio - REKT

lee este artículo en:

en - es - ru - tr - zh

18 cuatrillones de dólares.

Ese es el valor teórico de los 60 billones de aBNBc que fueron minted ilegítimamente en Ankr el día de hoy.

Desafortunadamente, eso es más que el PBI de todo el mundo, y la liquidity de aBNBc no podía extenderse tanto, por lo que el hacker solo se escapó con $5M.

El anuncio oficial de Ankr señaló que los underlying staked assets están seguros, y el hilo continúa prometiendo a los usuarios "una reissuance de aBNBc" a través de una snapshot.

Pero el daño no se detuvo ahí…

Crédito: BlockSec, Peckshield

aBNBc es un reward-bearing receipt token para staked BNB a través de la plataforma Ankr en BSC.

El exploit se debió a una de llave privada comprometida de la dirección del deployer de Ankr en BSC, posiblemente como resultado de una campaña de phishing.

La cuenta del deployer comprometida publicó una versión maliciosa del contrato de token aBNBc, que luego se actualizó para reemplazar la implementación existente. La versión mejorada incluía una nueva función (0x3b3a5522) que permitía al attacker eludir la caller verification y realizar el mint de tokens libremente, directamente a su propia dirección.

Dirección del exploiter: 0xf3a465c9fa6663ff50794c698f600faa4b05c777

(Comprometida) Dirección del deployer de Ankr: 0x2ffc59d32a524611bb891cab759112a51f9e33c0

Ejemplo de attack tx (minting aBNBc a la wallet del exploiter): 0xe367d05e…

Financiacion del exploiter wallet, desde el deployer comprometido: 0xeb617798…

A pesar de la gran cantidad de tokens minted, la falta de on-chain liquidity limitó las ganancias del exploiter a solo $5M después de agotar los aBNB pools de PancakeSwap. La mayoría de las ganancias se conectaron a Ethereum, donde el exploiter está en proceso de lavarlas a través de Tornado Cash.

A medida que se corrió la voz sobre el mint infinito públicamente, se unieron imitadores, muchos de los cuales se pueden ver entre los principales holders del ahora sin valor aBNBc.

Sin embargo, algunos encontraron una forma de obtener ganancias, con una cuenta que ganaba 3 veces más que el exploiter inicial, sin embargo, la sincronización rápida y la financiación reciente de la dirección sugieren que podría ser el mismo actor.

Al comprar grandes cantidades de aBNB barato de PancakeSwap, esta dirección llevó el token al proyecto de stablecoin Helio Money.

Antes de que el oracle se actualizara para reflejar el crash del precio, el usuario realizó un borrow de 16M de HAY contra el collateral de aBNBc por una ganancia de $15,5M. Otro usuario se benefició con el mismo método, ganando aproximadamente $3,5M.

Los ataques han provocado el depeg de HAY ($0,62 en el momento de escribir este artículo), pero el proyecto ha asegurado a sus usuarios que serán compensados.

Las audits realizadas tanto por Peckshield como por Beosin señalaron el peligro que representaban las cuentas privilegiadas para los smart contracts de Ankr y se marcaron como "Confirmado" y "Reconocido", respectivamente.

Sin embargo, Ankr no tomó medidas para solucionar estos problemas.

Ahora han pagado el precio y Helios ha sufrido aún más daños colaterales.

CZ tuiteó el siguiente resumen:

”Posibles hacks en Ankr y Hay. El análisis inicial es que la clave privada del developer fue hacked y el hacker actualizó el smart contract a uno más malicioso. Binance detuvo los retiros hace unas horas. También congeló alrededor de $3M que los hackers mueven a nuestro CEX”.

¿CZ está tratando de convertirse en el nuevo personaje principal de crypto?

Alguien debería recordarle que ese rol nunca acaba bien...

compartir artículo

REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.

dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

aviso legal:

REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.

te podría gustar...

Tornado Cash Governance - REKT

Tornado Cash - Governance - REKT

Los Cypherpunks se esfuerzan por volverse ingobernables, pero no así. La gobernanza de Tornado Cash ha sido tomado como rehén a través de una propuesta caballo de Troya. Pero ahora el hacker propone revertir los efectos de su exploit. Con suerte, todo esto resultará ser nada más que una tormenta en un vaso de agua.

MÁS

Swaprum - REKT

Swaprum - Arbitrum - Rugpull - REKT

Swaprum, un DEX implementado en Arbitrum, hizo un rugpull con $3M el jueves. Certik, el auditor del proyecto, ha actualizado la puntuación de seguridad de Swaprum a "Exit Scam". ¿Demasiado poco y demasiado tarde?

MÁS

Level Finance - REKT

Level Finance - BSC - REKT

Level Finance fue rekt. $1.1M en recompensas por referidos fueron robados de la plataforma de perps basada en BSC. El ataque se intentó inicialmente hace más de una semana, pero parece que nadie se dio cuenta. ¿Podría una advertencia haber salvado a Level?

MÁS