forklog.com
Злоумышленники атаковали DeFi-протокол Ankr и выпустили огромное количество токенов aBNBc. Цена используемого в стейкинге синтетического актива обвалилась до нуля.
Our aBNB token has been exploited, and we are currently working with exchanges to immediately halt trading.
— Ankr (@ankr) December 2, 2022
Команда проекта подтвердила инцидент и заверила пользователей, что их средства в безопасности. Она пообещала перевыпустить aBNBc и возместить потери на основе снапшота счетов.
Further instructions from the Ankr team:
— Ankr (@ankr) December 2, 2022
1. Do not trade
2. Remove liquidity from DEXes if you are a liquidity provider (and keep the aBNBc)
3. Snapshot will be done and wait for additional news
4. Will do a reissuance of aBNBc
По данным специалистов PeckShield, хакер получил прибыль в размере ~$15 млн, заимствовав под залог aBNBc через протокол Helio Protocol активы в стейблкоине HAY. Цена привязанной к доллару «стабильной монеты» в моменте упала на 61%.
#PeckShieldAlert 0x8d11F…217 is capitalising off the $aBNBc exploit,
— PeckShieldAlert (@PeckShieldAlert) December 2, 2022
10 $BNB -> 183,384.92 $aBNBc->$hBNB and staked them into Helio Protocol to lend ~$16M BHAY0 & exchanged them into $HAY
Profit: ~$15Mhttps://t.co/YLwhIENcL7$HAY has dropped -61% https://t.co/EKPrYojuHY pic.twitter.com/txTKY042sd
Эксперты Lookonchain определили, что злоумышленник получил в результате обменов около 4 млн USDC и 5000 BNB. Последние он обменял в основном на стейблкоин от Centre, а 900 BNB отправил в миксер Tornado Cash.
3.
— Lookonchain (@lookonchain) December 2, 2022
He exchanged a total of 4,050,500 $USDC and 5,000 $BNB ($1.5M)
And he exchanged 4,500 $BNB for 1,293,087 $USDC, and deposited 900 $BNB into https://t.co/11PfRBP2j2. pic.twitter.com/61OlF50YJS
В Binance заявили, что взлом не затронул пользователей платформы и их средства находятся в безопасности.
We are aware of the attack targeting @ankr's aBNBc token. Our team is engaged with the relevant parties and @BNBCHAIN to investigate further.
— Binance (@binance) December 2, 2022
This is not an attack against #Binance, and your funds are SAFU on our exchange. This thread will be updated should there be any updates.
DeFi-аналитик под псевдонимом Ignas.lens отметил, что в ходе аудита эксперты PeckShield указали на уязвимость ключа администратора, допускающего привилегированный выпуск aBNBc. Однако команда проигнорировала предупреждение.
Another example that just having an audit, doesn't mean it's safe.
— Ignas.lens | DeFi Research (@DefiIgnas) December 2, 2022
Ankr received an Audit from Peckshield warning about 'trust issue of Admin Keys' which has privileged minting aBNB tokens.
The team 'Confirmed' the warning, but it seems they have not fixed it. https://t.co/ypMSepPco8 pic.twitter.com/KOKCkSTuQZ
На фоне инцидента цена синтетического актива на базе BNB обвалилась до нуля, согласно CoinGecko.
Напомним, в ноябре потери криптопроектов от взломов составили $391,6 млн, подсчитали в PeckShield. Большая часть суммы пришлась на ущерб от кражи средств с обанкротившейся FTX ($340 млн) и взлом горячего кошелька Deribit ($28 млн).