Avec l'accent mis par l'industrie de la cryptographie sur le fiasco FTX, les pirates DeFi se sont réjouis, ont frappé Ankr et, selon les informations disponibles, ont volé 5 millions de dollars.
Les pirates ont pu exploiter un bogue de frappe illimité. Le protocole DeFi a déclaré qu'il travaillait avec les échanges pour atténuer l'impact du piratage.
Ankr tombe victime d'exploitation
Ankr, un protocole de financement décentralisé (DeFi) basé sur la chaîne BNB, a confirmé qu'il avait été victime d'un exploit de plusieurs millions de dollars. L'attaque s'est produite le 1er décembre et a été découverte par l'analyste de sécurité en chaîne PeckShield le 2 décembre. Ankr a confirmé les développements peu de temps après, déclarant sur Twitter que des pirates avaient réussi à exploiter le jeton aBNB. Ils ont également annoncé qu'ils travaillaient avec les bourses pour arrêter la négociation du jeton en question.
"Notre jeton aBNB a été exploité et nous travaillons actuellement avec des bourses pour arrêter immédiatement les échanges."
Détails du piratage
Selon les détails disponibles, le pirate a pu frapper 20 billions de BNB Ankr Reward Bearing Staked (aBNBc) grâce à une vulnérabilité dans le contrat intelligent pour le jeton.
"Notre analyse montre que le contrat de jeton $aBNBc a un bogue de menthe illimité. Plus précisément, alors que mint() est protégé avec le modificateur onlyMinter, il existe une autre fonction (avec signature func. 0x3b3a5522) qui contourne complètement la vérification de l'appelant pour avoir un mint arbitraire !!!
PeckShield a rapporté que le pirate avait transféré environ 900 BNB, d'une valeur d'environ 253,000 3000 $ dans Tornado Cash. De plus, l'exploiteur a également relié l'USDC et l'ETH à la blockchain Ethereum. Selon PeckShield, le pirate détient 500,000 XNUMX ETH et environ XNUMX XNUMX USDC.
Les 20 billions de jetons aBNBc détenus par l'attaquant en font le 13e plus grand détenteur du jeton. Le jeton aBNBc est le jeton porteur de récompense pour les jetons BNB jalonnés sur la plateforme Ankr.
Vulnérabilités dans le code de contrat intelligent
La société de sécurité Blockchain Beosin a confirmé la source de l'exploit, déclarant qu'il était probablement dû à des vulnérabilités dans le code du contrat intelligent, ainsi qu'à des clés privées compromises. Selon Beosin, ces vulnérabilités pourraient provenir d'une mise à niveau technique réalisée par Ankr.
« @ankr a été exploité. $aBNBc a chuté de -99.5%. Le pirate a frappé des tonnes de $aBNBc et a réalisé un bénéfice de 5,500 1.6 BNB (~ XNUMX million de dollars). Le déployeur a remplacé le contrat de mise en œuvre par l'adresse de contrat vulnérable avant l'attaque (probablement en raison d'une compromission de la clé privée).
Un porte-parole de la société de sécurité a déclaré :
"Il est possible que la clé privée du déployeur ait été exposée dans cette mise à niveau, conduisant un attaquant à utiliser les privilèges du déployeur pour modifier le contrat."
Binance enquête sur l'exploit
Binance, dans un message du 2 décembre, a confirmé que son équipe était engagée avec Ankr et d'autres parties liées et enquêtait plus avant sur l'affaire. Il a également ajouté qu'aucun fonds d'utilisateurs de Binance n'était à risque.
"Nous sommes au courant de l'attaque ciblant le jeton aBNBc de @ankr. Notre équipe est engagée avec les parties concernées et @BNBCHAIN pour enquêter plus avant. Ce n'est pas une attaque contre #Binance, et vos fonds sont SAFU sur notre échange. Ce fil sera mis à jour s'il y a des mises à jour.
Baisse des prix ANKR et BNB
À la suite de ces développements, ANKR et BNB ont enregistré une baisse considérable des prix. Au moment où la nouvelle de l'exploit a éclaté, le jeton ANKR a chuté d'environ 6.6 %, tombant à 0.0211 $. Cependant, il s'est depuis redressé et se négocie actuellement à 0.0216 $. Le jeton est déjà en baisse de plus de 90 % par rapport à son sommet historique de 0.213 $. Le jeton BNB a également chuté, chutant de 3.1 %. Cependant, cette baisse a été attribuée à une baisse plus large des marchés de la cryptographie.
Les hacks DeFi avaient considérablement augmenté au cours des deux derniers mois, octobre devenant le pire mois de l'histoire de DeFi. Plusieurs protocoles DeFi, tels que le Service de réveil Ethereum, QuickSwap de Polygon, Marchés de la mangue, et d'autres, ont été victimes d'exploits.
Avertissement: cet article est fourni à titre informatif uniquement. Il n'est ni proposé ni destiné à être utilisé comme conseil juridique, fiscal, d'investissement, financier ou autre.
Source : https://cryptodaily.co.uk/2022/12/defi-protocol-ankr-hit-by-multi-million-dollar-exploit