Il 1° dicembre, Ankr, protocollo di finanza decentralizzata (DeFi) basato sulla BNB Chain, ha confermato di essere stato colpito da un exploit multimilionario.

L'attacco è stato scoperto per la prima volta dall'analista di sicurezza on-chain PeckShield alle 12:35 UTC circa del 2 dicembre. 

Entro un'ora dall'attacco, Ankr ha confermato su Twitter che il token aBNB era stato exploitato e che stava collaborando con gli exchange per interrompere immediatamente la negoziazione del token compromesso.

Il nostro token aBNB è stato exploitato e stiamo collaborando con gli exchange per bloccarne immediatamente la negoziazione.

— Ankr (@ankr) December 2, 2022

L'aggressore è stato presumibilmente in grado di mintare 20.000 miliardi di Ankr Reward Bearing Staked BNB (aBNBc), un token che genera reward in base ai BNB messi in staking sul protocollo.

Secondo un post pubblicato su Twitter da Lookonchain, società di analisi on-chain, l'exploiter ha poi utilizzato servizi come Uniswap, Tornado Cash e vari bridge per scambiare e occultare i fondi al fine di ottenere circa 5 milioni di dollari di USD Coin (USDC).

In un post successivo ha anche aggiunto che "tutti gli asset sottostanti su Ankr Staking sono al sicuro in questo momento, e tutti i servizi infrastrutturali non sono coinvolti".

Sembra che @ankr sia stato hackerato un'ora fa!

L'exploiter ha mintato 20T aBNBc e li ha scaricati su #PancakeSwap.

Al momento, l'exploiter ha scambiato con successo più di 5 milioni di dollari USADC. https://t.co/hF1tgNYw0t pic.twitter.com/XIPjBi6wvs

— Lookonchain (@lookonchain) December 2, 2022

Commentando l'attacco a Cointelegraph, Beosin, società di sicurezza blockchain, ha suggerito che l'exploit è stato probabilmente il risultato di vulnerabilità nel codice dello smart contract combinate con chiavi private compromesse, che potrebbero derivare da un aggiornamento tecnico effettuato dal team di Ankr circa 12 ore fa.

Beosin ha anche sottolineato che l'episodio di mass minting ha fatto crollare il prezzo di aBNBc del 99,5% da 303,89 $ a 1,53 $ nel giro di poche ore, secondo i dati di CoinMarketCap.

@ankr è stato exploitato. $aBNBc è sceso del -99,5%.
L'hacker ha mintato tonnellate di $aBNBc e ha realizzato un profitto di 5.500 BNB (~$1,6 milioni).
Il deployer ha cambiato il contratto di implementazione con l'indirizzo del contratto vulnerabile prima dell'attacco (probabilmente a causa della compromissione della chiave privata). pic.twitter.com/GJheXh0oDp

— Beosin Alert (@BeosinAlert) December 2, 2022

"È possibile che la chiave privata del deployer sia stata esposta in questo aggiornamento, portando un aggressore a utilizzare i privilegi del deployer per modificare il contratto", ha dichiarato un portavoce di Beosin a Cointelegraph.

In un post pubblicato su Twitter il 2 dicembre, Binance, il crypto exchange, ha confermato che il suo team è impegnato con le parti interessate per indagare ulteriormente sulla questione, aggiungendo che i fondi degli utenti di Binance non sono a rischio. La pagina Twitter di BNB Chain ha anche dichiarato che l'indirizzo del wallet dell'exploiter è stato inserito nella lista nera.

Siamo a conoscenza dell'attacco contro il token aBNBc di @ankr avvenuto oggi, che ha portato al mint di una quantità sostanziale di nuovi aBNBc. L'exploiter è stato inserito nella lista nera.
La nostra comunità è al lavoro per coordinare una risposta. Forniremo ulteriori aggiornamenti non appena saranno disponibili.

— BNB Chain (@BNBCHAIN) December 2, 2022

Cointelegraph ha contattato Ankr quando è stato scoperto l'exploit, ma non ha ricevuto una risposta immediata.

Aggiornamento 4:30 UTC 2 dicembre: Aggiunta una dichiarazione ufficiale di Ankr con i commenti di Beosin.

Aggiornamento 5:30 UTC 2 dicembre: Aggiunta una dichiarazione dall'account Twitter di BNB Chain di Binance.