去中心化 Web3 基礎設施提供商 Ankr 週五試圖通過對 盜竊至少 5.5 萬美元 來自 BNB Chain 流動性池和貨幣市場。
該團隊確認 Ankr 的其他產品——包括驗證器、RPC 節點和 AppChain 服務——沒有受到影響。 這將讓 Ankr 其他更大的抵押衍生品的持有者鬆一口氣,尤其是 aETHc——Ankr 抵押的以太幣——其市值約為 68 萬美元。
攻擊者在 60 筆不同的交易中共鑄造了 6 萬億個 aBNBc。 然後,竊賊使用已鑄造但無擔保的代幣從 BNB 鏈上的去中心化交易所中抽取流動性。 在轉身購買了沮喪的 aBNBc 之後,攻擊者能夠通過提取價值 16 萬美元的 HAY(該協議的自定義穩定幣)並將其換成價值 15.5 萬美元的 BUSD(Paxos 發行的 Binance 穩定幣)來突襲借貸協議 Helio。
在利用之前,Helio 鎖定了 90 萬美元的總價值, 根據 DeFiLlama.
“像這樣的不良行為者的黑客攻擊和利用在 Web3 中是一種不幸的可能性,即使在安全過程中每一個細節都非常關注——但我們已經做好了充分的準備,”聯合創始人兼首席執行官錢德勒宋在 一份聲明.
推薦的“行動計劃”解釋瞭如何通過新的 ankrBNB 代幣補償 aBNBc 的用戶,該代幣將根據鏈上數據的利用前快照進行鑄造和空投。
雖然這次攻擊顯然源於對 aBNBc 智能合約部署者私鑰的惡意使用,但目前尚不清楚密鑰是如何被洩露的。 行業 最佳實踐要求 可升級智能合約上的多重簽名錢包和時間鎖,以防止此類攻擊。
Ankr 的代表沒有回應 Blockworks 的置評請求。
流動性質押 BNB 的其他供應商,例如 pSTAKE 使用多重簽名 以保護敏感合約,並限制對代幣鑄造功能的訪問,而完全去中心化的 dapp,例如以太坊上的 Uniswap,根本無法升級。
附帶損害的全部程度尚不清楚,但 Ankr 表達了意圖 解決相關DeFi dapp客戶遭受的損失。
例如,在正在進行的討論結果出來之前,Ankr 將承擔 Helio Protocol 產生的壞賬, 根據 後者的官方推特賬號。
每天晚上將當天的頂級加密新聞和見解發送到您的收件箱。 訂閱 Blockworks 的免費通訊 。
來源:https://blockworks.co/news/ankr-exploit-causes-collateral-damage