Un nouveau mois, un nouveau hack DeFi ! Bien que la situation et ce qui s'est passé restent flous, il semble qu'un pirate informatique ait exploité le protocole financier décentralisé Ankr.
Comme le PDG de Binance Changpeng Zhao (CZ) l'a déclaré il y a quelques heures, il existe des hacks possibles sur Ankr et Hay. Selon les premières analyses, la clé privée du développeur a été piratée, ce qui a permis à l'attaquant de manipuler un contrat intelligent Ankr.
Société de sécurité blockchain PeckShield A déclaré via Twitter :
Notre analyse montre que le contrat de jeton $aBNBc a un bogue de menthe illimité. Plus précisément, alors que mint() est protégé avec le modificateur onlyMinter, il existe une autre fonction (avec signature func. 0x3b3a5522) qui contourne complètement la vérification de l'appelant pour avoir un mint arbitraire !!!
Grâce à cela, l'attaquant a pu frapper 6 quadrillions de jetons aBNBc, qu'il a convertis en environ 5 millions USDC. CZ a informé que Binance avait suspendu les retraits il y a quelques heures. Il a également gelé environ 3 millions de dollars qui ont été transférés à Binance par le pirate informatique.
Hacks possibles sur Ankr et Hay. L'analyse initiale indique que la clé privée du développeur a été piratée et que le pirate a mis à jour le contrat intelligent en un contrat plus malveillant. Binance a suspendu les retraits il y a quelques heures. A également gelé environ 3 millions de dollars que les pirates informatiques déplacent vers notre CEX.
- CZ 🔶 Binance (@cz_binance) 2 décembre 2022
Les utilisateurs de Binance ne sont pas affectés dans tout le chaos
Le prix du jeton aBNBc a chuté de près de 100 % depuis l'exploit. Des rapports récents suggèrent que l'attaquant a déjà transféré une partie des fonds volés à Tornado Cash. Une partie de la crypto-monnaie pillée a été pontée via Celer et deBridgeGate, selon la société de sécurité PeckShield.
Cette même société avait mené un audit pour Ankr il y a quelques mois, mettant en garde contre un "problème de confiance avec les clés d'administration" qui privilégiait la frappe des jetons aBNB. Bien que l'équipe de l'Ankr ait "reconnu" l'avertissement, il semble qu'elle ne l'a pas réparé.
Tout récemment, la chaîne BNB avait introduit la fonction de jalonnement liquide via Ankr, qui permettait aux utilisateurs de gagner des intérêts en attribuant des jetons BNB au contrat de jalonnement liquide et de recevoir aBNBc.
Cependant, Binance a rapidement donné le feu vert, affirmant que l'équipe BNB est en contact avec les parties concernées. "Ce n'est pas une attaque contre #Binance, et vos fonds sont SAFU sur notre échange", a-t-il déclaré dans un communiqué via Twitter.
Depuis que le pirate a presque complètement vidé les pools de liquidités aBNBc sur PancakeSwap et ApeSwap, le prix de aBNBc a chuté de 99.5% après la exploiter.
Un commerçant opportuniste transforme moins de 3 15.5 $ en XNUMX millions de dollars
Selon la société d'analyse Lookonchain, un commerçant opportuniste a a profité de la situation et réalisé un bénéfice de 15.5 millions de BUSD avec une mise minimale de 10 BNB.
Après que l'exploiteur d'Ankr ait abandonné aBNBc, le commerçant a acheté 183,885 10 aBNBc avec seulement 2,879 BNB d'une valeur de 183,885 16 $, puis a déposé 16 15.5 aBNBc auprès d'Helio en garantie et a emprunté XNUMX millions de HAY. Au final, il a vendu XNUMX millions de HAY et a reçu XNUMX millions de BUSD.
Le Stablecoin HAY a connu un effondrement massif en conséquence. Le prix du stablecoin a parfois chuté à 0.21 $, mais a quand même réussi à se redresser progressivement à 0.61 $ au moment de la presse.
Notamment, Binance Labs a réalisé un investissement stratégique dans Ankr en août 2022. L'investissement de Binance Labs visait à aider Ankr à améliorer encore la évolutivité des réseaux blockchain.
Peut-être qu'à la suite de la nouvelle, le prix du BNB a chuté de 3.1 % et se négociait à 290 $ au moment de la publication.
Source : https://bitcoinist.com/ankr-suffers-exploit-binance-ceo-clarifies/