Ankr Exploit גורם לנזק בטחונות

ספקית תשתית ה-Web3 המבוזרת Ankr ביקשה להרגיע את הקהילה שלה ביום שישי עם תגובה ראשונית ל- גניבה של לפחות 5.5 מיליון דולר ממאגרי הנזילות של רשת BNB ושוקי הכסף.

הצוות אישר שהמוצרים האחרים של Ankr - כולל מאמתים, צמתי RPC ושירותי AppChain - לא הושפעו. זה יבוא כהקלה למחזיקי נגזרות ההימור הגדולות האחרות של Ankr, בעיקר aETHc - Ankr staked ether - אשר נושאת שווי שוק של כ-68 מיליון דולר.

עדכון על ניצול ה-aBNB Token שלנו:
אנו אסירי תודה לקהילה שלנו של DEXs, חילופי דברים ופרוטוקולים שעזרו לנו לסיים את הניצול במהירות.
אנו נשתמש ברזרבות כדי לפצות את ספקי הנזילות עבור מאגר ה-aBNBc.https://t.co/B2yNWBAQdX
- אנקר (@ankr) דצמבר 2, 2022

התוקף טבע בסך הכל 60 טריליון aBNBc ב-6 עסקאות שונות. לאחר מכן השתמש הגנב באסימונים המוטבעים, אך ללא גיבוי, כדי לנקז נזילות מבורסות מבוזרות ברשת BNB. לאחר שהסתובב וקנה את ה-aBNBc המדוכא, התוקף הצליח לפשוט על פרוטוקול ההלוואה וההלוואות Helio על ידי משיכת 16 מיליון דולר ב-HAY, ה-stablecoin המותאם אישית של הפרוטוקול, והחלפתו ב-15.5 מיליון דולר BUSD, ה-Binance stablecoin שהונפק על ידי Paxos.

לפני הניצול, ל-Hlio היו 90 מיליון דולר ב-Total Value Locked, לפי DeFiLlama.

1/ הצוות בפרוטוקול Helio מודע למצב ואנחנו עובדים בשיתוף פעולה הדוק @אנקר לנהל את המצב ולתמוך בקהילה שלנו בתקופה קשה זו.
— פרוטוקול Helio ($HAY) 🔶 (@Helio_Money) דצמבר 2, 2022

"פריצות וניצול של שחקנים רעים כמו זה הם אפשרות מצערת ב-Web3, אפילו עם כל תשומת לב לפרטים בתהליכי אבטחה - אבל היינו מוכנים היטב", אמר המייסד והמנכ"ל צ'נדלר סונג ב- הצהרה.

"תוכנית פעולה" מומלצת הסבירה כיצד ניתן לפצות את המשתמשים ב-aBNBc באמצעות אסימון ankrBNB חדש שיוטבע ויושק באוויר בהתבסס על תמונת מצב מוקדמת של נתונים על השרשרת.

בעוד שהמתקפה נובעת ככל הנראה משימוש זדוני במפתח הפרטי עבור מפריס החוזה החכם aBNBc, לא ברור בדיוק כיצד המפתח נפרץ. תַעֲשִׂיָה שיטות עבודה מומלצות דורשות ארנקים מרובי חתימות ומנעולי זמן על חוזים חכמים הניתנים לשדרוג, כדי למנוע סוג זה של התקפה.

נציגי אנקר לא הגיבו לבקשת Blockworks להגיב.

ספקים אחרים של BNB עם סיכון נוזלי כמו pSTAKE השתמש ב-multisigs כדי להגן על חוזים רגישים ולהגביל את הגישה לפונקציות הטבעת אסימונים, בעוד ש-Dapps מבוזר לחלוטין כגון Uniswap ב-Ethereum אינם ניתנים לשדרוג כלל.

ההיקף המלא של הנזק הנלווה עדיין לא ברור, אבל ה-Ankr הביע את הכוונה כדי לפתור הפסדים שנגרמו ללקוחות של מכשירי DeFi קשורים.

לדוגמה, Ankr יכסה חובות אבודים שנגרמו על ידי פרוטוקול Helio, עד לתוצאות הדיונים המתמשכים, על פי חשבון הטוויטר הרשמי של האחרון.

קבל את החדשות והתובנות המובילות של הקריפטו לתיבת הדואר הנכנס שלך מדי ערב. הירשם לניוזלטר החינמי של Blockworks עכשיו.

מקור: https://blockworks.co/news/ankr-exploit-causes-collateral-damage