تاریخ بروز رسانی :
۱۳
آذر
۱۴۰۱
توقف برداشتها در بایننس در پی هک پروتکل انکر (Ankr)
چانگ پنگ ژائو (Changpeng Zhao) مدیرعامل صرافی بایننس اعلام کرد که این صرافی پس از سوءاستفاده هکری از پروژه گره ارز دیجیتال Ankr، برداشتها در پلتفرم خود را متوقف کرده است.
زمان مطالعه :
2 دقیقهفهرست
چانگپنگ ژائو، مدیرعامل بایننس در توضیحات خود اینچنین عنوان کرد که:
تحلیل اولیه ما نشان میدهد که کلید خصوصی متعلق به توسعهدهنده این پلتفرم هک شده است و هکر قرارداد هوشمند را به قراردادی مخرب برای اهداف خود تغییر داده است. بایننس چند ساعت پیش برداشتها را متوقف کرده و همچنین داراییهایی به ارزش حدود ۳ میلیون دلار که هکرها به صرافی متمرکز ما منتقل کرده بودند را مسدود نموده است.
انکر (Ankr) یک اپراتور گره توزیعشده برای شبکههای اثبات سهام است که به کاربران اجازه میدهد توکنهای خود را بهراحتی و بدون نیاز به خرید سختافزار لازم استیک کنند.
بر اساس تجزیه و تحلیلهای اولیه میتوان نتیجه گرفت که علت احتمالی حمله به Ankr و Hay، هک شدن کلید خصوصی توسعهدهنده این پلتفرمها بوده و از این طریق هکر قرارداد هوشمند اصلی را به قراردادی مخربتر تغییر داده است. در پی وقوع این حادثه، صرافی بایننس نیز برداشتها را متوقف کرد. به گفته CZ آنها همچنین حدود ۳ میلیون دلاری که هکرها به بایننس منتقل کرده بودند را مسدود کردهاند.
پلتفرم انکر در ساعات اولیه روز جمعه هک شد و مهاجم قرارداد هوشمند را وثیقهای برای توکن aBNBc قرار داد که این امر به او اجازه میداد تعداد نامحدودی از این توکن را ایجاد کنند. این توکن نشاندهنده یک نسخه استیکشده از توکن BNB شبکه بایننس است که در انکر به دارندگان آن پاداش داده میشود. به گفته CoinGecko، قیمت این توکن از زمان حمله ۹۹.۵ درصد سقوط کرده است.
تعداد توکنهای ایجاد شده مشخص نیست، اما برخی گزارشها نشان میدهند که آنها توانستهاند تا ۶۰ تریلیون توکن aBNBc را ضرب کنند.
توییتی که در تاریخ ۲ دسامبر (۱۱ آذر) ۲۰۲۲ از حساب کاربری @ArkhamIntel منتشر شد به جزئیات این حمله اشاره کرده است:
امروز صبح، آدرس ۰xf3a از یک باگ ضرب کوین نامحدود در کد قرارداد Ankr سوءاستفاده کرد تا در مجموع ۶۰ تریلیون aBNBc (توکنهای رپد BNB ، قابل بازخرید در Ankr) را در ۶ تراکنش مختلف ضرب کند. در ابتدا این توکنها در ازای دریافت استیبل کوین USDC به استخر aBNBc در صرافی pancakeswap فروخته شد.
در توییتی دیگر که از حساب کاربری شرکت امنیت بلاک چین PeckShield Inc منتشر شد آمده:
تجزیه و تحلیل ما نشان میدهد که قرارداد توکن aBNBc دارای باگ ضرب کوین نامحدود است. بهطور خاص، در حالی که تابع ضرب توکن (()mint) با اصلاح کننده onlyMinter محافظت می شود، تابع دیگری (w/ 0x3b3a5522 func. signature) وجود دارد که بهطور کامل فراخوانی تابع قبلی را دور میزند و منجر به ضرب کوینها به صورت دلخواه و نامحدود میشود!!!
مهاجم بهسرعت شروع به پل زدن USDC از BSC کرد؛ در ابتدا با استفاده از deBridge به زنجیره اتریوم رفت و همچنین ۹۰۰ عدد BNB را به صرافی Tornado Cash ارسال کرد. بعداً با اعمال تغییر و استفاده از cBridge، مهاجم به فروش کوینهای خود در استخر ادامه داد و بهصورت بیوقفه آنها را به USDC تبدیل کرد.
هکرها بسیاری از این توکنها را با استیبل کوین USDC مبادله کردند و شروع به انتقال آنها از زنجیره هوشمند Binance به اتریوم کردند.
پروتکل انکر بلافاصله پس از رخ دادن این حمله از پاسخگویی به خبرگزاریها سر باز زد.
پاسخ انکر به این حمله
تیم Ankr تأیید کرد که حدود ۵ میلیون دلار در BNB سرقت شده است. همچنین پیشنهادی را برای جایگزین کردن توکنهای مسروقه کاربران به وسیلهی انتشار مجدد یک توکن جدید به نام ankrBNB اعلام کرد که به دارندگان aBNBc قبل از هک تعلق میگیرد. انکر با انتشار توییتی در تاریخ ۲ دسامبر ۲۰۲۲ از حساب کاربری رسمی خود (@ankr) عنوان کرد:
ما توکن ankrBNB را برای همه دارندگان معتبر aBNBc قبل از رخ دادن حمله هکری منتشر میکنیم. توکن ankrBNB همچنان قابل بازخرید است، در حالی که aBNBc و aBNBb دیگر قابل بازخرید نخواهند بود. علاوه بر این Ankr به ارزش ۵ میلیون دلار BNB خریداری خواهد کرد و از آن برای جبران کل خسارت ارائه دهندگان نقدینگی که به دلیل تخلیه استخر نقدینگی خود تحتتأثیر این سوءاستفاده قرار گرفتهاند، استفاده خواهد کرد.
همانگونه که مشخص است انکر برای جبران خسارت ارائهدهندگان نقدینگی در استخرها، مبادرت به خرید ۵ میلیون دلار توکن BNB خواهد کرد.
ارز BNB چیست؟ کاربردهای بایننس کوین در دنیای ارزهای دیجیتال
این حمله اگرچه در مقایسه با برخی حملات دیگر بزرگ به نظر نمیرسد، اما سال ۲۰۲۲ را به یکی از سودآورترین سالها برای هکرها تبدیل میکند. به گفته شرکت تحلیلی ارز دیجیتال Chainalysis، تاکنون بیش از ۳ میلیارد دلار از پروتکلهای مختلف دارایی رمزنگاریشده به سرقت رفته است:
در سال گذشته مجموع مبلغ سرقتشده به بالاترین حد خود یعنی ۳.۲ میلیارد دلار رسید.
چنانچه به مشاوره رایگان علاقهمندید، پرسشها و نظرات خود را درباره این مقاله یا موضوعات مختلف حوزه بلاکچین و ارزهای دیجیتال مطرح کنید. برای پاسخگویی آمادهایم!
نظر بدهید
0