by cryptoblog Sumber : Rekt News
18 kuadriliun dolar.
Itulah nilai teoritis dari 60 triliun aBNBc yang dicetak secara tidak sah dari Ankr hari ini.
Sayangnya, itu lebih dari PDB seluruh dunia, dan likuiditas aBNBc tidak dapat mencapai sejauh itu, sehingga peretas hanya mendapatkan $5 juta.
Pengumuman resmi Ankr menunjukkan bahwa aset dasar yang dipertaruhkan aman, dan utas selanjutnya menjanjikan kepada pengguna “penerbitan ulang aBNBc” melalui snapshot.
Tapi kerusakan tidak berhenti di situ…
Kredit: BlockSec, Peckshield
aBNBc adalah token tanda terima yang memberikan hadiah untuk BNB yang dipertaruhkan melalui platform Ankr di BSC.
Eksploitasi tersebut disebabkan oleh kompromi kunci pribadi dari alamat penggelaran Ankr di BSC, kemungkinan hasil dari kampanye phishing.
Akun penyebar yang dikompromikan menerbitkan versi berbahaya dari kontrak token aBNBc, yang kemudian ditingkatkan untuk menggantikan implementasi yang ada. Versi yang ditingkatkan menyertakan fungsi baru (0x3b3a5522) yang memungkinkan penyerang melewati penelepon dan membuat token secara bebas, langsung ke alamat mereka sendiri.
Alamat pengeksploitasi: 0xf3a465c9fa6663ff50794c698f600faa4b05c777
(Disusupi) Alamat penyebar Ankr: 0x2ffc59d32a524611bb891cab759112a51f9e33c0
Contoh serangan tx (mencetak aBNBc ke dompet pengeksploitasi): 0xe367d05e…
Mendanai dompet pengeksploitasi dari pengeksploitasi yang disusupi: 0xeb617798…
Meskipun sejumlah besar token dicetak, kurangnya likuiditas on-chain membatasi keuntungan pengeksploitasi menjadi hanya $5 juta setelah menguras kumpulan ABNB PancakeSwap. Sebagian besar hasil dijembatani ke Ethereum, di mana para pengeksploitasi sedang dalam proses pencucian melalui Tornado Cash.
Saat tersiar kabar tentang infinite mint yang dapat dipanggil secara publik, para peniru bergabung, banyak di antaranya dapat dilihat di antara pemegang teratas aBNBc yang sekarang tidak berharga.
Beberapa memang menemukan cara untuk mendapat untung, namun, dengan satu akun menghasilkan 3x lebih banyak dari pengeksploitasi awal, namun waktu yang cepat dan pendanaan baru-baru ini dari alamat tersebut menunjukkan bahwa itu bisa menjadi aktor yang sama.
Dengan membeli aBNB depegged dalam jumlah besar dari PancakeSwap, alamat ini membawa token ke proyek stablecoin Helio Money.
Sebelum oracle memperbarui untuk mencerminkan jatuhnya harga, pengguna meminjam 16 juta HAY terhadap jaminan aBNBc untuk keuntungan sebesar $15,5 juta. Pengguna lain mendapat untung melalui metode yang sama, menghasilkan sekitar $3,5 juta.
Serangan tersebut telah menyebabkan HAY menjadi depeg ($0,62 pada saat penulisan), tetapi proyek telah meyakinkan para penggunanya bahwa mereka akan diberi kompensasi.
Audit oleh Peckshield dan Beosin menyebut bahaya yang ditimbulkan oleh akun istimewa terhadap kontrak pintar Ankr, dan masing-masing ditandai sebagai “Dikonfirmasi” dan “Diakui”.
Namun, Ankr tidak mengambil langkah untuk memperbaiki masalah ini.
Sekarang mereka telah membayar harganya, dan Helios telah menangkap lebih banyak kerusakan tambahan.
CZ men-tweet ringkasan berikut:
”Kemungkinan peretasan di Ankr dan Hay. Analisis awal adalah kunci pribadi pengembang diretas, dan peretas memperbarui kontrak pintar menjadi lebih berbahaya. Binance menghentikan penarikan beberapa jam yang lalu. Juga membekukan sekitar $3 juta yang dipindahkan oleh peretas ke CEX kami.”
Apakah CZ mencoba menjadi karakter utama crypto yang baru?
Seseorang harus mengingatkannya bahwa peran tidak pernah berakhir dengan baik…
