Протоколы Ankr и Helio - REKT

Такова теоретическая стоимость 60 триллионов aBNBc, которые сегодня были вполне законно отчеканены в протоколе Ankr.

К сожалению, это больше, чем ВВП всей планеты, и ликвидности aBNBc на столько не хватило бы, поэтому хакер скрылся с $5M.

В официальном заявлении протокол Ankr подчеркнул, что соответствующие застейканные активы - в безопасности, и дальше в ветке они обещают пользователям "перевыпуск aBNBc” через снэпшот.

Но на этом потери не закончились...

Источник: BlockSec, Peckshield

aBNBc представляет собой токен для получения вознаграждения для BNB, застейканных на блокчейне BSC с помощью платформы Ankr.

Эксплоит произошел по причине компрометирования приватных ключей от адреса деплоера Ankr на BSC, возможно в результате фишинговой кампании

Скомпрометированный аккаунт деплоера опубликовал вредоносную версию контракта токена aBNBc, который затем апгрейдили, чтобы заменить существующую имплементацию. Обновленная версия включала в себя новую функцию, (0x3b3a5522), которая позволила злоумышленнику обойти верификацию call и свободно чеканить токены напрямую на его собственный адрес.

Адрес эксплоитера: 0xf3a465c9fa6663ff50794c698f600faa4b05c777

(Скомпрометированный) адрес деплоера Ankr: 0x2ffc59d32a524611bb891cab759112a51f9e33c0

Пример транзакции атаки: (чеканка aBNBc на кошелек эксплоитера) 0xe367d05e…

Снабжение кошелька эксплоитера через скомпрометированный деплоер: 0xeb617798…

Несмотря на большое количество отчеканенных токенов, недостаток ликвидности в блокчейне ограничил прибыль эксплоитера всего лишь пятью миллионами долларов, после того как он слил средтсва из пулов aBNB на PancakeSwap. Большая часть поступлений были переведены через мосты в сеть Ethereum, где эксплоитер на данный момент отмывает их через Tornado Cash.

Как только стало известно о бесконечной чеканке, находящейся в публичном доступе, к ней присоединились новые копикаты. Из них многие можно увидеть среди топовых держателей теперь бесполезного aBNBc.

Кому-то все же удалось найти способ получить прибыль. Один из аккаунтов получил в три раза больше прибыли, чем оригинальный эксплоитер. Однако, приближенность во времени и недавние пополнения адреса говорят о том, что это может быть один и тот же человек.

Скупая большие количества потерявших привязку aBNB на PancakeSwap, этот адрес перевел токен в проект по выпуску стейблкоинов Helio Money.

Прежде чем оракул обновил данные и стало очевидно падение цены, пользователь взял в долг 16M HAY в обмен на залог в aBNBc и получил $15.5M прибыли. Другой пользователь тоже получил прибыль, воспользовавшись тем же методом, и заработал примерно $3.5M.

В результате атак HAY потерял привязку (в момент написания он торгуется по $0.62), но проект уверил своих пользователей, что компенсирует их потери.

Аудиты, проведенные компаниями Peckshield и Beosin указывали на опасность, которую привилегированные аккаунты представляли для смарт-контрактов Ankr. Аудиты соответственно получили отметки “Подтверждено” и “Принято”.

Однако, Ankr не сделал ничего, чтобы исправить эти неполадки.

Теперь они поплатились за это, а Helios отхватил еще больший побочный ущерб.

CZ твитнул следующее резюме:

"Возможные хаки на Ankr и Hay. По предварительному анализу был хакнут приватный ключ разраба, и хакер обновил смарт-контракт на вредоносный. Binance приостановила выводы несколько часов назад. Мы также заморозили примерно $3 млн., которые хакеры перевели на нашу CEX."

CZ пытается стать новым героем крипты?

Кто-то должен ему напомнить, что эта роль никогда ничем хорошим не заканчивается...

REKT представляет собой общественную площадку для анонимных авторов. Мы не несём ответственность за выражаемые точки зрения или контент на этом веб-сайте.

Пожертвование (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

Дисклеймер:

REKT не несет никакой ответственности за любое содержание, размещенное на нашем Веб-сайте или имеющее какое-либо отношение к оказываемым нами Услугам, независимо от того, было ли оно опубликовано или создано Анонимным Автором нашего Веб-сайта или REKT. Не смотря на то, что мы устанавливаем правила поведения и нормы публикаций для Анонимных Авторов, мы не контролируем и не несем ответственность за содержание публикаций Анонимных Авторов, а также за то, чем делятся и что передают Авторы с помощью нашего Сайта и наших Сервисов, и не несем ответственность за любое оскорбительное, неуместное, непристойное, незаконное или спорное содержание, с которым вы можете столкнуться на нашем Веб-сайте и на наших Сервисах. REKT не несет ответственность за поведение, будь то онлайн или офлайн, любого пользователя нашего Веб-сайта или наших Сервисов.