A seguito dell'exploit multimilionario confermato ieri, il protocollo Ankr basato sulla BNB Chain ha pubblicato un aggiornamento sul blog aziendale per comunicare agli utenti le prossime intenzioni.
Il team ha dichiarato di star identificando i liquidity provider (LP) degli exchange decentralizzati e i protocolli che supportano gli LP di aBNBc o aBNBb. Il gruppo ha anche riferito di star valutando i collateral pool aBNBc, come Midas e Helio. Secondo il post, Ankr intende acquistare 5 milioni di dollari di BNB, che utilizzerà per rimborsare i liquidity provider colpiti dall'exploit.
Dopo l'exploit, alcuni utenti sono riusciti ad effettuare del trading speculativo su aBNBc diluito. Di conseguenza, la società ha indicato che questi trader non saranno inclusi nelle misure di compensazione del protocollo, affermando che "siamo in grado di compensare solo gli LP colti di sorpresa dall'evento".
Aggiornamento sull'exploit del token aBNB:
Siamo grati alla nostra community di DEX, exchange e protocolli che ci hanno aiutato a porre fine rapidamente all'exploit.
Utilizzeremo le riserve per rimborsare i liquidity provider dei pool di aBNBc.
Update on our aBNB Token Exploit:
— Ankr (@ankr) December 2, 2022
We are grateful to our community of DEXs, exchanges, and protocols that all helped us end the exploit quickly.
We will use reserves to compensate liquidity providers for the aBNBc pools.https://t.co/B2yNWBAQdX
Gli sviluppatori hanno illustrato la modalità dell'hack: un operatore malevolo è riuscito ad accedere alla "deployer key" del team, ovvero la chiave originariamente utilizzata per distribuire gli smart contract del protocollo. Poiché i contratti sono aggiornabili, ciò ha permesso all'aggressore di implementare una versione completamente nuova di uno dei contratti, dandogli la possibilità di coniare un numero illimitato di monete "senza controlli di autorizzazione".
Dopo aver ottenuto questa facoltà, l'hacker ha coniato 60 trilioni di token aBNBb "dal nulla". Questi token sono stati scambiati con USDC e spostati dalla rete attraverso bridge ad Ethereum.
In risposta, il team ha innanzitutto trasferito la proprietà dei contratti ad un nuovo account non compromesso. In questo modo i contratti sono stati salvaguardati, impedendo all'attaccante di arrecare ulteriori danni. I validatori, le API RPC e i servizi App Chain di Ankr non sono stati compromessi, quindi il trasferimento della proprietà dei contratti è stata l'unica azione necessaria per ripristinare la stabilità.
Ankr ha poi avvisato tutti i DEX di non consentire la negoziazione di aBNBc o aBNBb, attualmente procedendo all'identificazione dei liquidity provider per questi token, come quelli che forniscono il token a Helios e Midas.
Il blog post sottolinea che le versioni attuali di aBNBc e aBNBb non saranno più riscattabili in BNB. Verrà registrato uno snapshot dei saldi precedenti all'exploit. Verranno emesse nuove versioni di questi token e i titolari dei token saranno rimborsati con nuove monete in base ai saldi precedenti all'exploit. Per tal motivo, il team ha invitato gli utenti a non scambiare aBNBc o aBNBb.
Ankr ha anche riferito di aver rilevato che alcuni utenti hanno svolto arbitraggio, tentando di trarre profitto dalla situazione. Come detto, questi arbitraggi non saranno rimborsati, poiché lo snapshot considererà la data del 2 dicembre 2022, 12:43:18 UTC. Tutte le operazioni effettuate dopo questo orario non saranno rimborsate.
Infine, gli sviluppatori hanno dichiarato che i liquidity provider dovrebbero rimuovere i loro token aBNBc e aBNBb dai loro liquidity pool e mantenere invece i token nei loro wallet.