Դեկտեմբերի 2-ին, ժամը 12:35-ին, Peckshield-ը նշել է հարձակվողի կողմից արված շահագործումը Ankr արձանագրություն։ Շահագործումը տեղի ունեցավ արձանագրության 20 տրիլիոն aBNBc պարգևատրման նշաններով:
Ankr Reward Bearing Staked BNB-ն (aBNBc) պարգևատրող նշան է, ինչը նշանակում է, որ դրա քանակը մնում է նույնը խաղադրույքի պահից: Նշանն արժեւորվում է, քանի որ դրա մարման գործակիցը մեծանում է պարգևների կուտակման պատճառով:
Անկր գործարկեց նշանը վրա Բինանս շղթան որպես հեղուկ ցցման ֆունկցիա Անկր. Օգտատերերը տոկոսներ են վաստակել՝ իրենց BNB-ն դնելով Smart պայմանագրի վրա և ձեռք են բերել aBNBc՝ որպես փաթեթի ապացույց:
Հետապնդելով aBNBc փողի հետքը
Ըստ lookonchain, հարձակվողը գողացել է բանալիներ Ankr-ից և հատել 10 տրիլիոն aBNBc, որը նա ուղարկել է իրեն: Ավելի ուշ նա 1.125 BNB է փոխանցել գազի վճարների համար և սկսել է գցել գողացված ժետոնները:
Հարձակվողը կրկին շահագործեց պայմանագիրը և հատեց ևս 10 տրիլիոն ժետոն: Շահագործումներից հետո հարձակվողը սկսել է գումար լցնել BNB և Ethereum Tornado կանխիկի միջոցով:
Tornado Cash-ը ապակենտրոնացված, բաց կոդով Smart պայմանագիր է, որը տրամադրում է այլոց հետ «փչացած» կրիպտոարժույթի միջոցների լվացման ծառայություն՝ միջոցների աղբյուրը թաքցնելու համար:
Հարձակվողը նաև գողացված միջոցները փոխանցել է Helio Money-ին; միջոցները որպես գրավ օգտագործելով՝ նա վերցրեց 16 մլն ԱՄՆ դոլար ՀԱՅ, որը հետագայում վաճառեց 15.5 մլն ԱՄՆ դոլարով: Հարձակվողը բազմիցս կրկնել է նմանատիպ գործարքներ BNB-ով վաճառված $HAY-ի հետ:
$16M HAY շահագործման վերլուծություն Lookonchain-ի կողմից:
Peckshield անվտանգության ընկերությունը բացահայտել է, որ Ankr-ի պայմանագիրը սխալ է ունեցել դրա հատման գործառույթում: Պայմանագրում ներկառուցված w/ 0x3b3a5522 ֆունկցիայի ստորագրությունը կարող է շրջանցել OnlyMinter ֆունկցիան և ունենալ կամայական նոտա:
Peckshield-ը նաև նշել է, որ հարձակվողները միջոցները կամրջել են Celer-ի և de BridgeGate-ի միջոցով Ethereum-ի և Tornado-ի կանխիկացման համար:
Ankr-ն արձագանքեց Twitter-ում՝ ընդունելով կոտրումը և արագ տեղեկացրեց բորսաներին՝ դադարեցնելու նշանների առևտուրը: Նրանք խորհուրդ տվեց իրենց համայնքը խուսափելու խորհրդանիշների առևտուրից, իրացվելիությունը բորսաներից հանելու համար և նշեց նոր Թոքենների թողարկումը: Այս քայլը անարժեք կդարձնի գողացված նշանները:
Peckshield-ը նշել է անանուխի ֆունկցիայի բազմաթիվ շահագործումներ:
Հարձակվողները շարունակում են մնալ բարձր ակտիվ; blockchain վիճակագրությունը վկայում է նաև շահագործողների մասին այրվել միլիարդավոր նշաններ:
Ըստ Peckshield-ի՝ որոշ շահագործողների փոխանցվեց USDC-ն և BUSD-ն լվացվել է շահագործումից մինչև Բինանս փոխանակում. Binance-ում լվացված միջոցները կազմում են մոտ 19 միլիոն դոլար:
Աղբյուր՝ https://www.cryptopolitan.com/ankr-protocol-exploited-trillions-of-abnbc/