Dengan tumpuan industri crypto pada kegagalan FTX, penggodam DeFi telah bergembira, memukul Ankr, dan mengikut maklumat yang tersedia, mencuri $5 juta.
Penggodam dapat mengeksploitasi pepijat pencetakan tanpa had. Protokol DeFi menyatakan ia sedang bekerjasama dengan pertukaran untuk mengurangkan kesan penggodaman.
Mangsa Ankr Jatuh Untuk Dieksploitasi
Ankr, protokol kewangan terdesentralisasi (DeFi) berasaskan Rantaian BNB, telah mengesahkan bahawa ia telah menjadi mangsa eksploitasi berjuta-juta dolar. Serangan itu berlaku pada 1 Disember dan ditemui oleh penganalisis keselamatan rantaian PeckShield pada 2 Disember. Ankr mengesahkan perkembangan sejurus selepas itu, menyatakan di Twitter bahawa penggodam telah berjaya mengeksploitasi token aBNB. Mereka juga mengumumkan bahawa mereka sedang bekerjasama dengan bursa untuk menghentikan perdagangan token berkenaan.
“Token aBNB kami telah dieksploitasi, dan kami sedang bekerjasama dengan bursa untuk menghentikan dagangan dengan serta-merta.”
Butiran Peretasan
Menurut butiran yang ada, penggodam itu dapat menghasilkan 20 trilion Ankr Reward Bearing Staked BNB (aBNBc) berkat kelemahan dalam kontrak pintar untuk token tersebut.
“Analisis kami menunjukkan kontrak token $aBNBc mempunyai pepijat pudina tanpa had. Khususnya, sementara mint() dilindungi dengan onlyMinter modifier, terdapat satu lagi fungsi (w/ 0x3b3a5522 func. signature) yang memintas sepenuhnya pengesahan pemanggil untuk mempunyai mint sewenang-wenangnya !!!”
PeckShield melaporkan bahawa penggodam telah memindahkan sekitar 900 BNB, bernilai sekitar $253,000 ke dalam Tornado Cash. Selain itu, pengeksploitasi juga menghubungkan USDC dan ETH ke rantaian blok Ethereum. Menurut PeckShield, penggodam memegang 3000 ETH dan sekitar 500,000 USDC.
20 trilion token aBNBc yang dipegang oleh penyerang menjadikan mereka pemegang token ke-13 terbesar. Token aBNBc ialah token pembawa ganjaran untuk token BNB yang dipertaruhkan pada platform Ankr.
Kerentanan Dalam Kod Kontrak Pintar
Firma keselamatan rantaian blok Beosin mengesahkan sumber eksploitasi itu, menyatakan bahawa ia berkemungkinan disebabkan oleh kelemahan dalam kod kontrak pintar, bersama dengan kunci persendirian yang terjejas. Menurut Beosin, kelemahan ini mungkin timbul daripada peningkatan teknikal yang dilakukan oleh Ankr.
“@ankr telah dieksploitasi. $aBNBc telah jatuh -99.5%. Penggodam itu menghasilkan banyak $aBNBc dan memperoleh keuntungan sebanyak 5,500 BNB (~$1.6 juta). Penyerahan menukar kontrak pelaksanaan kepada alamat kontrak yang terdedah sebelum serangan (mungkin disebabkan oleh kompromi kunci persendirian)."
Jurucakap firma keselamatan itu menyatakan,
"Kemungkinan kunci persendirian pengerahan didedahkan dalam peningkatan ini, yang membawa kepada penyerang menggunakan keistimewaan pengerahan untuk mengubah suai kontrak."
Binance Menyiasat Eksploitasi
Binance, dalam siaran pada 2 Disember, mengesahkan bahawa pasukannya telah terlibat dengan Ankr dan pihak berkaitan lain dan sedang menyiasat perkara itu dengan lebih lanjut. Ia juga menambah bahawa tiada dana pengguna Binance berisiko.
“Kami menyedari serangan itu menyasarkan token aBNBc @ankr. Pasukan kami terlibat dengan pihak berkaitan dan @BNBCHAIN untuk menyiasat lebih lanjut. Ini bukan serangan terhadap #Binance, dan dana anda adalah SAFU pada pertukaran kami. Urutan ini akan dikemas kini sekiranya terdapat sebarang kemas kini.”
Harga ANKR Dan BNB Turun
Hasil daripada perkembangan itu, kedua-dua ANKR dan BNB menyaksikan penurunan harga yang ketara. Pada masa berita eksploitasi itu pecah, token ANKR turun sekitar 6.6%, jatuh kepada $0.0211. Walau bagaimanapun, ia telah pulih dan kini didagangkan pada $0.0216. Token itu sudah turun lebih 90% daripada paras tertinggi sepanjang masa $0.213. Token BNB juga jatuh, jatuh sebanyak 3.1%. Walau bagaimanapun, penurunan ini disebabkan oleh penurunan yang lebih meluas dalam pasaran crypto.
Penggodaman DeFi telah meningkat secara drastik sejak beberapa bulan lalu, dengan Oktober menjadi bulan paling teruk dalam sejarah DeFi. Beberapa protokol DeFi, seperti Perkhidmatan Jam Penggera Ethereum, QuickSwap Polygon, Pasar Mangga, dan lain-lain, menjadi mangsa eksploitasi.
Penafian: Artikel ini disediakan untuk tujuan maklumat sahaja. Itu tidak ditawarkan atau dimaksudkan untuk digunakan sebagai nasihat hukum, pajak, pelaburan, kewangan, atau nasihat lain.
Sumber: https://cryptodaily.co.uk/2022/12/defi-protocol-ankr-hit-by-multi-million-dollar-exploit