Penyedia infrastruktur Web3 terdesentralisasi Ankr berusaha meyakinkan komunitasnya pada hari Jumat dengan tanggapan awal terhadap pencurian minimal $ 5.5 juta dari kumpulan likuiditas BNB Chain dan pasar uang.
Tim mengonfirmasi bahwa produk Ankr lainnya — termasuk validator, node RPC, dan layanan AppChain — tidak terpengaruh. Itu akan melegakan bagi pemegang turunan taruhan Ankr lainnya yang lebih besar, terutama aETHc — Ankr mempertaruhkan eter — yang membawa kapitalisasi pasar sekitar $68 juta.
Penyerang mencetak total 60 triliun aBNBc di 6 transaksi berbeda. Pencuri kemudian menggunakan token yang dicetak, tetapi tidak didukung untuk mengalirkan likuiditas dari bursa terdesentralisasi di Rantai BNB. Setelah berbalik dan membeli aBNBc yang tertekan, penyerang dapat menggerebek protokol peminjaman dan peminjaman Helio dengan menarik $16 juta dalam HAY, stablecoin khusus protokol dan menukarnya dengan $15.5 juta BUSD, stablecoin Binance yang dikeluarkan oleh Paxos.
Sebelum mengeksploitasi, Helio memiliki Total Value Locked sebesar $90 juta, menurut DeFiLlama.
“Peretasan dan eksploitasi dari aktor jahat seperti ini merupakan kemungkinan yang tidak menguntungkan di Web3, bahkan dengan setiap perhatian terhadap detail dalam proses keamanan — tetapi kami telah mempersiapkan diri dengan baik,” kata Co-Founder & CEO Chandler Song, dalam pernyataan.
“Rencana tindakan” yang direkomendasikan menjelaskan bagaimana pengguna aBNBc dapat dikompensasi melalui token ankrBNB baru yang akan dicetak dan di-airdrop berdasarkan snapshot pra-eksploitasi data on-chain.
Meskipun serangan itu tampaknya berasal dari penggunaan kunci pribadi yang berbahaya untuk penyebar kontrak pintar aBNBc, tidak jelas persis bagaimana kunci itu disusupi. Industri panggilan praktik terbaik dompet multisignature dan timelocks pada smart contract yang dapat diupgrade, untuk mencegah jenis serangan ini.
Perwakilan dari Ankr tidak menanggapi permintaan komentar Blockworks.
Penyedia BNB liquid stake lainnya seperti pSTAKE menggunakan multisig untuk melindungi kontrak sensitif, dan membatasi akses ke fungsi pembuatan token, sementara dapp yang sepenuhnya terdesentralisasi seperti Uniswap di Ethereum tidak dapat ditingkatkan sama sekali.
Tingkat kerusakan tambahan belum jelas, tetapi Ankr menyatakan niat untuk menyelesaikan kerugian yang ditanggung oleh pelanggan dari aplikasi DeFi terkait.
Misalnya, Ankr akan menanggung utang buruk yang ditimbulkan oleh Protokol Helio, sambil menunggu hasil diskusi yang sedang berlangsung, Menurut akun Twitter resmi yang terakhir.
Dapatkan berita dan wawasan crypto teratas hari ini yang dikirimkan ke kotak masuk Anda setiap malam. Berlangganan buletin gratis Blockworks sekarang.
Sumber: https://blockworks.co/news/ankr-exploit-causes-collateral-damage