Útočníkovi se podařilo vyrazit 6 kvadrilionů tokenů aBNBc, které nakonec převedl na zhruba 5 milionů USDC. Informovaly o tom servery Decrypt a Coindesk.
Ankr, který sám sebe označil za první platformu „node-as-a-service“, utrpěl mnohamiliardový exploit kvůli chybě ve svém kódu, která umožňovala neomezenou ražbu jeho tokenu. Napsaly o tom servery Decrypt a Coindesk.
K útoku došlo v pátek v brzkých ranních hodinách, přičemž útočník využil smart contract pro token aBNBc, který mu umožnil vytvořit nekonečné množství tohoto tokenu. Tento token představuje staked verzi tokenu BNB společnosti Binance, který získává odměny na Ankr. Cena tokenu se podle CoinGecko od útoku propadla o 99,5 procent.
The attacker swiftly began to bridge USDC off BSC, moving to Ethereum chain initially using deBridge, and also sending 900 BNB to Tornado Cash.
— Arkham | Crypto Intelligence (@ArkhamIntel) December 2, 2022
Later switching to using cBridge, the attacker continued to sell into the pool, collecting USDC relentlessly. https://t.co/WFbngQD1yQ pic.twitter.com/u7jcLlJ92F
Počet vytvořených tokenů není jasný, ale některé zprávy uvádějí, že se podařilo vyrazit až 60 bilionů tokenů aBNBc.
Velkou část těchto tokenů vyměnili za stablecoin USDC a začali je přesouvat z Binance Smart Chain na Ethereum.
Krátce po útoku uvedl Generální ředitel Binance Changpeng Zhao na Twitteru, že jeho burza zmrazila 3 miliony dolarů, které tam poslali hackeři.
„Možné hacky na Ankr a Hay. Podle prvotní analýzy byl hacknut privátní klíč vývojáře a hacker aktualizoval smart kontrakt na škodlivější,“ napsal Zhao. „Binance před několika hodinami pozastavila výběry. Zmrazili jsme také asi 3 miliony dolarů, které hackeři přesunuli na naši burzu.“
Reakce Ankr na útok
Tým Ankr potvrdil, že byl okraden o zhruba 5 milionů dolarů v BNB. Zároveň oznámil návrh, jak postižené uživatele odškodnit reemisí nového tokenu s názvem ankrBNB, který by byl distribuován držitelům aBNBc z doby před hackerským útokem.
Ankr by také nakoupil tokeny BNB v hodnotě 5 milionů dolarů jako kompenzaci poskytovatelům likvidity.
„Uděláme snapshot a znovu vydáme ankrBNB všem platným držitelům aBNBc před exploitem. Token ankrBNB bude nadále vyměnitelný, zatímco tokeny aBNBc a aBNBb již vyměnitelné nebudou. Kromě toho Ankr nakoupí BNB v hodnotě 5 milionů dolarů a použije je na celkové odškodnění poskytovatelů likvidity, kteří byli hackem postiženi v důsledku vyčerpání likvidity,“ uvedla společnost Ankr na Twitteru po exploitu.