分散型 Web3 インフラストラクチャ プロバイダーの Ankr は、金曜日にコミュニティを安心させようとしました。 少なくとも 5.5 万ドルの盗難 BNBチェーンの流動性プールとマネーマーケットから。
チームは、バリデーター、RPC ノード、AppChain サービスなど、Ankr の他の製品が影響を受けていないことを確認しました。 これは、Ankr の他の大規模なステーキング デリバティブ、特に aETHc (Ankr ステーキング イーサリアム) の保有者にとって安心となるでしょう。
攻撃者は、60 つの異なるトランザクションで合計 6 兆の aBNBc を発行しました。 次に泥棒は、発行されたが裏付けのないトークンを使用して、BNB チェーンの分散型取引所から流動性を流出させました。 好転し、落ち込んだ aBNBc を購入した後、攻撃者は、プロトコルのカスタム ステーブルコインである HAY で 16 万ドルを引き出し、それを Paxos が発行する Binance ステーブルコインである 15.5 万ドルの BUSD と交換することで、借用および貸付プロトコルの Helio を襲撃することができました。
エクスプロイトの前に、Helio は合計 90 万ドルのロックされた価値を持っていました。 DeFiLlamaによると.
「セキュリティ プロセスの細部に細心の注意を払っても、このような悪意のある人物によるハッキングやエクスプロイトは、Web3 では不幸な可能性です。しかし、私たちは十分に備えていました」と共同創設者兼 CEO の Chandler Song 氏は ステートメント.
推奨される「アクション プラン」では、aBNBc のユーザーが、オンチェーン データのエクスプロイト前のスナップショットに基づいて作成およびエアドロップされる新しい ankrBNB トークンを通じてどのように補償されるかを説明しました。
この攻撃は、明らかに aBNBc スマート コントラクト デプロイヤーの秘密鍵の悪用に端を発していますが、鍵がどのように危険にさらされたかは正確には不明です。 業界 ベストプラクティスが求めるもの このタイプの攻撃を防ぐために、アップグレード可能なスマート コントラクトのマルチシグ ウォレットとタイムロック。
Ankr の担当者は、Blockworks のコメント要請に応じませんでした。
pSTAKE などのリキッドステーク BNB の他のプロバイダー マルチシグを使用する 機密性の高い契約を保護し、トークン ミント機能へのアクセスを制限しますが、イーサリアムの Uniswap などの完全に分散化された dapp はまったくアップグレードできません。
巻き添え被害の全容はまだ明らかではありませんが、Ankr 意思を表明した 関連するDeFi dappsの顧客が被った損失を解決するため。
たとえば、進行中の議論の結果が出るまで、Ankr は Helio Protocol によって発生した不良債権をカバーします。 による 後者の公式Twitterアカウント。
毎晩あなたの受信箱に配信されるその日のトップ暗号ニュースと洞察を入手してください。 Blockworksの無料ニュースレターを購読する 今。
ソース: https://blockworks.co/news/ankr-exploit-causes-collateral-damage