Злоумышленники атаковали DeFi-протокол Ankr и выпустили огромное количество токенов aBNBc. Цена используемого в стейкинге синтетического актива обвалилась до нуля.
Our aBNB token has been exploited, and we are currently working with exchanges to immediately halt trading.— Ankr (@ankr) December 2, 2022
Команда проекта подтвердила инцидент и заверила пользователей, что их средства в безопасности. Она пообещала перевыпустить aBNBc и возместить потери на основе снапшота счетов.
Further instructions from the Ankr team: 1. Do not trade2. Remove liquidity from DEXes if you are a liquidity provider (and keep the aBNBc)3. Snapshot will be done and wait for additional news4. Will do a reissuance of aBNBc— Ankr (@ankr) December 2, 2022
По данным специалистов PeckShield, хакер получил прибыль в размере ~$15 млн, заимствовав под залог aBNBc через протокол Helio Protocol активы в стейблкоине HAY. Цена привязанной к доллару "стабильной монеты" в моменте упала на 61%.
#PeckShieldAlert 0x8d11F...217 is capitalising off the $aBNBc exploit, 10 $BNB -> 183,384.92 $aBNBc->$hBNB and staked them into Helio Protocol to lend ~$16M BHAY0 & exchanged them into $HAYProfit: ~$15Mhttps://t.co/YLwhIENcL7$HAY has dropped -61% https://t.co/EKPrYojuHY pic.twitter.com/txTKY042sd— PeckShieldAlert (@PeckShieldAlert) December 2, 2022
Эксперты Lookonchain определили, что злоумышленник получил в результате обменов около 4 млн USDC и 5000 BNB. Последние он обменял в основном на стейблкоин от Centre, а 900 BNB отправил в миксер Tornado Cash.
3.He exchanged a total of 4,050,500 $USDC and 5,000 $BNB ($1.5M)And he exchanged 4,500 $BNB for 1,293,087 $USDC, and deposited 900 $BNB into https://t.co/11PfRBP2j2. pic.twitter.com/61OlF50YJS— Lookonchain (@lookonchain) December 2, 2022
В Binance заявили, что взлом не затронул пользователей платформы и их средства находятся в безопасности.
We are aware of the attack targeting @ankr's aBNBc token. Our team is engaged with the relevant parties and @BNBCHAIN to investigate further.This is not an attack against #Binance, and your funds are SAFU on our exchange. This thread will be updated should there be any updates.— Binance (@binance) December 2, 2022
DeFi-аналитик под псевдонимом Ignas.lens отметил, что в ходе аудита эксперты PeckShield указали на уязвимость ключа администратора, допускающего привилегированный выпуск aBNBc. Однако команда проигнорировала предупреждение.
Another example that just having an audit, doesn't mean it's safe.Ankr received an Audit from Peckshield warning about 'trust issue of Admin Keys' which has privileged minting aBNB tokens.The team 'Confirmed' the warning, but it seems they have not fixed it. https://t.co/ypMSepPco8 pic.twitter.com/KOKCkSTuQZ— Ignas.lens | DeFi Research (@DefiIgnas) December 2, 2022
2 декабря 2022 | 13:20Апдейт:
В PeckShield обратили внимание, что прибыль в ходе взлома извлек еще один адрес. Его владелец перевел на Binance ~3,5 млн BUSD и ~1,63 млн USDC.
#PeckShieldAlert A PeckShield community contributor has detected that 0x9bae...9fc7 also capitalized off the $aBNBc exploit (Ankr & Hay) and transferred profit ~$3.5M to Binance ~1.87M $Binance-Peg BUSD and ~1.63M $Binance-Peg USDC @cz_binancehttps://t.co/I6PIqHsgUN pic.twitter.com/4JnNO3qZuw— PeckShieldAlert (@PeckShieldAlert) December 2, 2022
Основатель и глава платформы Чанпэн Чжао подтвердил, что команда отслеживает ситуацию с инцидентом. Биржа заблокировала активы хакера на $5 млн, о каких именно средствах идет речь, он не уточнил.
Possible hacks on Ankr and Hay. Initial analysis is developer private key was hacked, and the hacker updated the smart contract to a more malicious one. Binance paused withdrawals a few hrs ago. Also froze about $3m that hackers move to our CEX.— CZ 🔶 Binance (@cz_binance) December 2, 2022
На фоне инцидента цена синтетического актива на базе BNB обвалилась до нуля, согласно CoinGecko.
Данные: CoinGecko.
Напомним, в ноябре потери криптопроектов от взломов составили $391,6 млн, подсчитали в PeckShield. Большая часть суммы пришлась на ущерб от кражи средств с обанкротившейся FTX ($340 млн) и взлом горячего кошелька Deribit ($28 млн).
