- Der Hacker nutzte einen Fehler im aBNBc-Smart Contract von Ankr aus, was ihm ermöglichte, sechs Quadrillionen aBNBc-Token zu prägen.
- Ankr schätzt den Schaden auf rund fünf Millionen Dollar und will die betroffenen Kunden zu entschädigen.
Heute wurde das DeFi-Protokoll Ankr, das auch als erste „Node-as-a-Service“-Plattform bekannt ist, massiv angegriffen. Aufgrund eines Fehlers im Programm-Code konnte der Hacker unbegrenzt sein Token aBNBc prägen.
Die Blockchain-Analyse- und Sicherheitsplattform PeckShield gehört zu den ersten, die über den Hack berichteten. Sie stellte fest, dass der Code des aBNBc-Smart-Contracts von Ankr jedem Nutzer ermöglicht hätte, eine unbegrenzte Zahl lohnender Staking-Token zu prägen, ohne dass eine Überprüfung erforderlich gewesen wäre. Infolgedessen konnte der eine wirkliche Angreifer sechs Quadrillionen aBNBc-Token prägen.
Our analysis shows the $aBNBc token contract has an unlimited mint bug. Specifically, while mint() is protected with onlyMinter modifier, there is another function (w/ 0x3b3a5522 func. signature) that completely bypasses the caller verification to have arbitrary mint !!! https://t.co/h51e7xpcVf pic.twitter.com/caRgasNNHq
— PeckShield Inc. (@peckshield) December 2, 2022
Nachdem er damit fertig war, gelang es ihm, 20 Billionen Token in BNB zu tauschen und sie in den Krypto-Mixer TornadoCash zu verschieben. Später tauschte der Angreifer die BNB-Token – natürlich nicht dieselben – in fünf Millionen USDC um – den Gegenwert von fünf Millionen Dollar. Nach Informationen von PeckShield wurden für den Umtausch eines Teils der gestohlenen Token die Bridges Celer und deBridgeGate benutzt.
Mit seiner Aktion hat der Cyber-Kriminelle die aBNBc-Liquiditätspools von ApeSwap und PancakeSwap vollständig geleert. Jetzt tendiert der Kurs der aBNBc-Token, der bis gestern noch bei 300 Dollar lag, gegen Null.
Binance hilft bei der Schadensbegrenzung
Sobald sich die Nachricht über den Hack des Ankr-Protokolls verbreitete, schaltete sich die Kryptobörse Binance ein und bot ihre Hilfe bei der Untersuchung des Angriffs an. Binance-Chef Changpeng Zhao, wies die Börse vor einigen Stunden an, Konten für Abhebungen zu sperren. Außerdem wurden drei Millionen Dollar eingefroren, die der Hacker zu Binance transferiert hatte. In seinem Tweet von heute Morgen schrieb Zhao:
„Mögliche Hacks bei Ankr und Hay. Die erste Analyse besagt, dass der private Schlüssel des Entwicklers gehackt wurde und der Hacker den Smart Contract bösartig verändert hat. Binance pausierte die Konten-Abhebungen vor ein paar Stunden. Auch sind über drei Millionen Dollar eingefroren, die Hacker an unsere Börse geschickt haben.“
Erst vor kurzem hatte BNB Chain über Ankr eine Liquid Staking-Funktion eingeführt. Sie ermöglicht den Kunden Zinsgewinne, indem sie ihre BNB-Token dem Liquid Staking-Vertrag zuordnen und im Gegenzug aBNBc erhalten – bis heute jedenfalls.
Die Krypto-Börse hat sichergestellt, dass Binance-Nutzer nicht von den Folgen des Cyper-Angriffs betroffen sind:
„Dies ist kein Angriff gegen #Binance, und Ihre Gelder sind SAFU auf unserer Börse Austausch.“
Ankr kauft BNB-Aktien im Wert von fünf Millionen Dollar
Auch Ankr hat sich um die Schadensbegrenzung gekümmert, nachdem dessen Ausmaß klar geworden war. wurde. Man beeilte sich außerdem mitzuteilen, dass alle betroffenen Kunden entschädigt werden sollen:
„Ankr wird BNB im Wert von fünf Millionen Euro kaufen und damit alle Liquiditätsanbieter entschädigen, die von dem Exploit betroffen sind. …Wir werden einen Snapshot machen und ankrBNB an alle vor dem Exploit rechtmäßigen aBNBc-Inhaber neu ausgeben. Der ankrBNB-Token wird weiterhin einlösbar sein, während aBNBc und aBNBb nicht mehr einlösbar sein werden.“
