去中心化 Web3 基础设施提供商 Ankr 周五试图通过对 盗窃至少 5.5 万美元 来自 BNB Chain 流动性池和货币市场。
该团队确认 Ankr 的其他产品——包括验证器、RPC 节点和 AppChain 服务——没有受到影响。 这将让 Ankr 其他更大的抵押衍生品的持有者松一口气,尤其是 aETHc——Ankr 抵押的以太币——其市值约为 68 万美元。
攻击者在 60 笔不同的交易中共铸造了 6 万亿个 aBNBc。 然后,窃贼使用已铸造但无担保的代币从 BNB 链上的去中心化交易所中抽取流动性。 在转身购买了沮丧的 aBNBc 之后,攻击者能够通过提取价值 16 万美元的 HAY(该协议的自定义稳定币)并将其换成价值 15.5 万美元的 BUSD(Paxos 发行的 Binance 稳定币)来突袭借贷协议 Helio。
在利用之前,Helio 锁定了 90 万美元的总价值, 根据 DeFiLlama.
“像这样的不良行为者的黑客攻击和利用在 Web3 中是一种不幸的可能性,即使在安全过程中每一个细节都非常关注——但我们已经做好了充分的准备,”联合创始人兼首席执行官钱德勒宋在 一份声明.
推荐的“行动计划”解释了如何通过新的 ankrBNB 代币补偿 aBNBc 的用户,该代币将根据链上数据的利用前快照进行铸造和空投。
虽然这次攻击显然源于对 aBNBc 智能合约部署者私钥的恶意使用,但目前尚不清楚密钥是如何被泄露的。 行业 最佳实践要求 多重签名钱包和可升级智能合约的时间锁,以防止此类攻击。
Ankr 的代表没有回应 Blockworks 的置评请求。
流动性抵押 BNB 的其他供应商,例如 pSTAKE 使用多重签名 以保护敏感合约,并限制对代币铸造功能的访问,而完全去中心化的 dapp,例如以太坊上的 Uniswap,根本无法升级。
附带损害的全部程度尚不清楚,但 Ankr 表达了意图 解决相关DeFi dapp客户遭受的损失。
例如,在正在进行的讨论结果出来之前,Ankr 将承担 Helio Protocol 产生的坏账, 根据 后者的官方推特账号。
每天晚上将当天的顶级加密新闻和见解发送到您的收件箱。 订阅 Blockworks 的免费通讯 现在。
来源:https://blockworks.co/news/ankr-exploit-causes-collateral-damage