Ankr & Helio - REKT
18 cuatrillones de dólares.
Ese es el valor teórico de los 60 billones de aBNBc que fueron minted ilegítimamente en Ankr el día de hoy.
Desafortunadamente, eso es más que el PBI de todo el mundo, y la liquidity de aBNBc no podía extenderse tanto, por lo que el hacker solo se escapó con $5M.
El anuncio oficial de Ankr señaló que los underlying staked assets están seguros, y el hilo continúa prometiendo a los usuarios "una reissuance de aBNBc" a través de una snapshot.
Pero el daño no se detuvo ahí…
Crédito: BlockSec, Peckshield
aBNBc es un reward-bearing receipt token para staked BNB a través de la plataforma Ankr en BSC.
El exploit se debió a una de llave privada comprometida de la dirección del deployer de Ankr en BSC, posiblemente como resultado de una campaña de phishing.
La cuenta del deployer comprometida publicó una versión maliciosa del contrato de token aBNBc, que luego se actualizó para reemplazar la implementación existente. La versión mejorada incluía una nueva función (0x3b3a5522) que permitía al attacker eludir la caller verification y realizar el mint de tokens libremente, directamente a su propia dirección.
Dirección del exploiter: 0xf3a465c9fa6663ff50794c698f600faa4b05c777
(Comprometida) Dirección del deployer de Ankr: 0x2ffc59d32a524611bb891cab759112a51f9e33c0
Ejemplo de attack tx (minting aBNBc a la wallet del exploiter): 0xe367d05e…
Financiacion del exploiter wallet, desde el deployer comprometido: 0xeb617798…
A pesar de la gran cantidad de tokens minted, la falta de on-chain liquidity limitó las ganancias del exploiter a solo $5M después de agotar los aBNB pools de PancakeSwap. La mayoría de las ganancias se conectaron a Ethereum, donde el exploiter está en proceso de lavarlas a través de Tornado Cash.
A medida que se corrió la voz sobre el mint infinito públicamente, se unieron imitadores, muchos de los cuales se pueden ver entre los principales holders del ahora sin valor aBNBc.
Sin embargo, algunos encontraron una forma de obtener ganancias, con una cuenta que ganaba 3 veces más que el exploiter inicial, sin embargo, la sincronización rápida y la financiación reciente de la dirección sugieren que podría ser el mismo actor.
Al comprar grandes cantidades de aBNB barato de PancakeSwap, esta dirección llevó el token al proyecto de stablecoin Helio Money.
Antes de que el oracle se actualizara para reflejar el crash del precio, el usuario realizó un borrow de 16M de HAY contra el collateral de aBNBc por una ganancia de $15,5M. Otro usuario se benefició con el mismo método, ganando aproximadamente $3,5M.
Los ataques han provocado el depeg de HAY ($0,62 en el momento de escribir este artículo), pero el proyecto ha asegurado a sus usuarios que serán compensados.
Las audits realizadas tanto por Peckshield como por Beosin señalaron el peligro que representaban las cuentas privilegiadas para los smart contracts de Ankr y se marcaron como "Confirmado" y "Reconocido", respectivamente.
Sin embargo, Ankr no tomó medidas para solucionar estos problemas.
Ahora han pagado el precio y Helios ha sufrido aún más daños colaterales.
CZ tuiteó el siguiente resumen:
”Posibles hacks en Ankr y Hay. El análisis inicial es que la clave privada del developer fue hacked y el hacker actualizó el smart contract a uno más malicioso. Binance detuvo los retiros hace unas horas. También congeló alrededor de $3M que los hackers mueven a nuestro CEX”.
¿CZ está tratando de convertirse en el nuevo personaje principal de crypto?
Alguien debería recordarle que ese rol nunca acaba bien...
REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.
dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
aviso legal:
REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.
te podría gustar...
Tapioca DAO - Rekt
Otro día, otro robo de clave privada, otro protocolo rekt. Tapioca DAO en Arbitrum sufre una pérdida de aproximadamente $4.4 millones debido al compromiso de una clave privada. Se han recuperado algunos fondos, aunque el alcance total del daño aún está por verse.
Radiant Capital - Rekt II
Radiant Capital sufre un recorte de $53 millones. ¿Pensabas que los multi-sigs eran seguros? Piénsalo otra vez. La "robusta" configuración 3/11 de Radiant se desplomó como un castillo de naipes. Exploited dos veces en 2024, el futuro de Radiant parece tan brillante como un agujero negro.
Sobreviviendo al Peligro Digital
¿Crees que has dominado el campo minado cripto? Piensa de nuevo. Sobreviviendo al Peligro Digital - La guía rekt para convertir la paranoia en una forma de arte. Es hora de mejorar tus habilidades de supervivencia en cripto.