Ankr Protokol DeFi Terkena Eksploitasi Multi-Juta Dolar

Dengan fokus industri crypto pada kegagalan FTX, peretas DeFi telah bersenang-senang, memukul Ankr, dan sesuai informasi yang tersedia, mencuri $5 juta.

Peretas dapat mengeksploitasi bug pencetakan yang tidak terbatas. Protokol DeFi menyatakan sedang bekerja dengan pertukaran untuk mengurangi dampak peretasan. 

Ankr Menjadi Korban Untuk Dieksploitasi 

Ankr, protokol keuangan terdesentralisasi (DeFi) berbasis Rantai BNB, telah mengonfirmasi bahwa ia telah menjadi korban eksploitasi jutaan dolar. Serangan tersebut terjadi pada tanggal 1 Desember dan ditemukan oleh analis keamanan on-chain PeckShield pada tanggal 2 Desember. Ankr mengonfirmasi perkembangan tersebut tidak lama kemudian, dengan menyatakan di Twitter bahwa peretas telah berhasil mengeksploitasi token aBNB. Mereka juga mengumumkan bahwa mereka bekerja sama dengan bursa untuk menghentikan perdagangan token yang dimaksud. 

“Token aBNB kami telah dieksploitasi, dan saat ini kami bekerja sama dengan bursa untuk segera menghentikan perdagangan.”

Detail Peretasan 

Menurut perincian yang tersedia, peretas dapat mencetak 20 triliun Ankr Reward Bearing Staked BNB (aBNBc) berkat kerentanan dalam kontrak pintar untuk token tersebut.

“Analisis kami menunjukkan bahwa kontrak token $aBNBc memiliki bug mint yang tidak terbatas. Secara khusus, sementara mint() dilindungi dengan pengubah onlyMinter, ada fungsi lain (dengan tanda tangan fungsi 0x3b3a5522) yang sepenuhnya melewati verifikasi penelepon untuk mendapatkan mint sewenang-wenang !!!

PeckShield melaporkan bahwa peretas telah mentransfer sekitar 900 BNB, senilai sekitar $253,000 ke Tornado Cash. Selain itu, pengeksploitasi juga menjembatani USDC dan ETH ke blockchain Ethereum. Menurut PeckShield, peretas memiliki 3000 ETH dan sekitar 500,000 USDC. 

20 triliun token aBNBc yang dipegang oleh penyerang menjadikan mereka pemegang token terbesar ke-13. Token aBNBc adalah token pembawa hadiah untuk token BNB yang dipertaruhkan di platform Ankr. 

Kerentanan Dalam Kode Kontrak Cerdas 

Perusahaan keamanan Blockchain Beosin mengkonfirmasi sumber eksploit tersebut, menyatakan bahwa kemungkinan besar karena kerentanan dalam kode kontrak pintar, bersama dengan kunci pribadi yang disusupi. Menurut Beosin, kerentanan ini bisa saja muncul dari peningkatan teknis yang dilakukan oleh Ankr. 

“@ankr telah dieksploitasi. $aBNBc turun -99.5%. Peretas mencetak banyak $aBNBc dan mendapat untung 5,500 BNB (~$1.6 juta). Penyebar mengubah kontrak implementasi ke alamat kontrak yang rentan sebelum serangan (kemungkinan karena kompromi kunci privat).

Seorang juru bicara perusahaan keamanan menyatakan,

“Ada kemungkinan bahwa kunci pribadi penggelar terungkap dalam pemutakhiran ini, yang menyebabkan penyerang menggunakan hak istimewa penggelar untuk mengubah kontrak.” 

Binance Menyelidiki Eksploitasi 

Binance, dalam sebuah postingan pada tanggal 2 Desember, mengonfirmasi bahwa timnya terlibat dengan Ankr dan pihak terkait lainnya dan sedang menyelidiki masalah tersebut lebih lanjut. Ia juga menambahkan bahwa tidak ada dana pengguna Binance yang berisiko. 

“Kami mengetahui serangan yang menargetkan token aBNBc @ankr. Tim kami terlibat dengan pihak terkait dan @BNBCHAIN ​​untuk menyelidiki lebih lanjut. Ini bukan serangan terhadap #Binance, dan dana Anda SAFU di bursa kami. Utas ini akan diperbarui jika ada pembaruan.”

ANKR Dan Harga BNB Turun 

Sebagai hasil dari perkembangan tersebut, ANKR dan BNB mengalami penurunan harga yang cukup besar. Pada saat berita eksploitasi tersiar, token ANKR turun sekitar 6.6%, jatuh ke $0.0211. Namun, sejak pulih dan saat ini diperdagangkan pada $0.0216. Token sudah lebih dari 90% turun dari level tertinggi sepanjang masa di $0.213. Token BNB juga turun, turun 3.1%. Namun, penurunan ini disebabkan oleh penurunan yang lebih luas di pasar crypto. 

Peretasan DeFi telah melonjak drastis selama beberapa bulan terakhir, dengan Oktober menjadi bulan terburuk dalam sejarah DeFi. Beberapa protokol DeFi, seperti Layanan Jam Alarm Ethereum, QuickSwap Polygon, Pasar Mangga, dan lainnya, menjadi korban eksploitasi.

Penafian: Artikel ini disediakan untuk tujuan informasional saja. Ini tidak ditawarkan atau dimaksudkan untuk digunakan sebagai nasihat hukum, pajak, investasi, keuangan, atau lainnya.