Decentralizuotos Web3 infrastruktūros teikėjas „Ankr“ penktadienį siekė nuraminti savo bendruomenę pirminiu atsakymu į pavogta mažiausiai 5.5 mln iš BNB grandinės likvidumo fondų ir pinigų rinkų.
Komanda patvirtino, kad kiti Ankr produktai, įskaitant tikrintuvus, RPC mazgus ir AppChain paslaugas, nebuvo paveikti. Tai bus palengvėjimas kitų didesnių Ankr išvestinių finansinių priemonių, ypač aETHc – Ankr akcijų eterio – turėtojams, kurių rinkos riba yra apie 68 mln.
Užpuolikas iš viso nukaldino 60 trilijonų aBNBc per 6 skirtingus sandorius. Tada vagis panaudojo nukaldintus, bet nepadengtus žetonus, kad nusausintų likvidumą iš decentralizuotų biržų BNB grandinėje. Apsigręžęs ir nusipirkęs depresija sergančią aBNBc, užpuolikas sugebėjo įvykdyti skolinimosi ir skolinimo protokolą „Helio“, atsiėmęs 16 milijonų dolerių HAY, protokolo tinkintą stabilią monetą ir iškeitęs ją į 15.5 milijono dolerių BUSD, Paxos išleistą stabilią Binance monetą.
Prieš išnaudojimą Helio turėjo 90 milijonų dolerių užblokuotą vertę, pagal DeFiLlama.
„Tokie blogų veikėjų įsilaužimai ir išnaudojimai yra apgailėtina Web3 galimybė, net jei saugos procesų metu buvo kreipiamas dėmesys į detales – bet mes buvome gerai pasiruošę“, – sakė vienas iš įkūrėjų ir generalinis direktorius Chandleris Songas. pareiškimas.
Rekomenduojamame „veiksmų plane“ paaiškinta, kaip aBNBc naudotojai gali gauti kompensaciją naudojant naują ankrBNB žetoną, kuris bus nukaldintas ir išmestas remiantis išankstiniu grandinės duomenų išnaudojimu.
Nors ataka, matyt, kilo dėl piktavališko privataus rakto naudojimo, skirto aBNBc išmaniosios sutarties diegimui, neaišku, kaip tiksliai raktas buvo pažeistas. Industrija reikalauja geriausios praktikos kelių parašų piniginės ir laiko užraktai atnaujinamose išmaniosiose sutartyse, kad būtų išvengta tokio tipo atakų.
Ankr atstovai neatsakė į Blockworks prašymą pakomentuoti.
Kiti skystų BNB tiekėjai, tokie kaip pSTAKE naudoti multisigs apsaugoti jautrias sutartis ir apriboti prieigą prie žetonų kalimo funkcijų, o visiškai decentralizuotų programų, pvz., „Uniswap“ „Ethereum“, naujovinti iš viso negalima.
Visas neteisėtos žalos dydis dar nėra aiškus, tačiau Ankr išreiškė ketinimą išspręsti nuostolius, kuriuos patyrė susijusių DeFi dapps klientai.
Pavyzdžiui, Ankr padengs blogą skolą, susidariusią dėl Helio protokolo, laukiant vykstančių diskusijų rezultatų, pagal pastarojo oficialioje „Twitter“ paskyroje.
Kiekvieną vakarą gaukite populiariausias kriptovaliutų naujienas ir įžvalgas į jūsų pašto dėžutę. Prenumeruokite nemokamą „Blockworks“ naujienlaiškį dabar.
Šaltinis: https://blockworks.co/news/ankr-exploit-causes-collateral-damage