Pada tanggal 2 Desember, pukul 12:35 GMT, Peckshield menandai eksploitasi yang dilakukan oleh penyerang Ankr protokol. Eksploitasi berhasil dengan 20 triliun token hadiah aBNBc dari protokol.
Ankr Reward Bearing Staked BNB (aBNBc) adalah token yang membawa hadiah, artinya jumlahnya tetap sama sejak saat dipertaruhkan. Token menghargai karena rasio penebusannya tumbuh karena akumulasi hadiah.
Ankr meluncurkan token di Binance rantai sebagai fungsi taruhan cair di Ankr. Pengguna mendapatkan bunga dengan mempertaruhkan BNB mereka pada kontrak Cerdas dan memperoleh aBNBc sebagai bukti kepemilikan.
Mengejar jejak uang aBNBc
Menurut rantai lookon, penyerang mencuri kunci dari Ankr deployer dan mencetak 10 triliun aBNBc yang dia kirim ke dirinya sendiri. Dia kemudian mentransfer 1.125BNB ke alamat untuk biaya gas dan mulai membuang token yang dicuri.
Penyerang mengeksploitasi kontrak lagi dan mencetak 10 triliun token lagi. Setelah eksploitasi, penyerang mulai mencuci uang ke BNB dan Ethereum melalui uang tunai Tornado.
Tornado Cash adalah kontrak Cerdas sumber terbuka terdesentralisasi yang menyediakan layanan pencucian dana cryptocurrency 'tercemar' dengan orang lain untuk mengaburkan sumber dana.
Penyerang juga mentransfer dana yang dicuri ke Helio Money; menggunakan dana tersebut sebagai jaminan, dia meminjam $16M HAY yang kemudian dia jual seharga $15.5M BUSD. Penyerang mengulangi transaksi serupa dengan $HAY yang dijual untuk BNB beberapa kali.
Analisis eksploitasi HAY $16 juta oleh Lookonchain.
Perusahaan keamanan Peckshield mengungkapkan bahwa kontrak Ankr memiliki bug dalam fungsi pencetakannya. Tanda tangan fungsi w/ 0x3b3a5522 yang disematkan dalam kontrak dapat mem-bypass Fungsi OnlyMinter dan memiliki mint sewenang-wenang.
Peckshield juga mencatat penyerang menjembatani dana melalui Celer dan de BridgeGate ke uang tunai Ethereum dan Tornado.
Ankr bereaksi di Twitter dengan mengakui peretasan dan dengan cepat memberi tahu pertukaran untuk menghentikan perdagangan token. Mereka disarankan komunitas mereka untuk menghindari perdagangan token, menarik likuiditas dari bursa, dan mengutip penerbitan Token baru. Langkah itu akan membuat token yang dicuri menjadi tidak berharga.
Peckshield mencatat banyak eksploitasi dari fungsi mint.
Para penyerang tetap sangat aktif; blockchain statistik menunjukkan pengeksploitasi juga dibakar miliaran token.
Menurut Peckshield, beberapa pengeksploitasi ditransfer USDC, dan BUSD dicuci dari mengeksploitasi ke Binance menukarkan. Total dana yang dicuci ke dalam Binance sekitar $19 juta.
Sumber: https://www.cryptopolitan.com/ankr-protocol-exploited-trillions-of-abnbc/