速報 aBNBcハッキング
デフィ壱拾参号から速報をお届けします。
2022/12/02 日本時間午前10時ごろ、
開発者支援ツールを提供するAnkrが発行する aBNBc (Ankr Reward Bearing Staked BNB) がハッカーによって10,000,000,000,000枚不正に発行され、価格が99%下落しました。
その後ハッカーはPancakeSwapで不正に発行したaBNBcをWBNBとUSDCにswapし、TornadoCashを用いてミキシングしたり、BridgeでEthereumに送金しています。
不正mintのトランザクション
ハッカーのアドレス:0xf3a4650c9fa6660c77a70704
被害総額はざっと見積もっても、500万ドル以上に及びそうです。
Ankrの発表によると、現在aBNBcは取引所と協力して取引を停止しており、Ankrステーキングの基盤となるすべての資産は安全であり、すべてのインフラストラクチャサービスは影響を受けないとのことです。
Our aBNB token has been exploited, and we are currently working with exchanges to immediately halt trading.
— Ankr (@ankr) December 2, 2022
ハッキングの手法
コード監査会社のPickShieldのtweetによると、aBNBc のコントラクトには無制限にmintできるバグがあったようです。
通常、mint関数は onlyMintという装飾子で誰でもmintできないように制限するのが通例ですが、別の関数をバイパスすることで制限を突破し、無限に発行できるようになってたとのこと。
また、このコントラクトには直近で複数のアップデートがあり、Ankrのエンジニアによって意図的に仕組まれた脆弱性による、内部犯行の可能性があるとも述べています。
追記
Ankr Stakingにステーキングされていた資産とインフラサービスはすべて安全で、ハッキングで被害にあったのはaBNBcの流動性提供者だけであり、AnkrはaBNBcプールの流動性提供者の被害を全額補償するためにリザーブを使用すると発表しました。
ハッキングの原因としては、Ankrチームがアップグレードを実行した後、ハッカーがデプロイ担当者の秘密鍵を侵害することができたようです。(法執行機関の調査待ち)
また、エクスプロイトの発生後、希薄化したaBNBcが投機的に売買されたことは理解しているが、流動性提供者のみ補償するとのことです。
Update on our aBNB Token Exploit:
We are grateful to our community of DEXs, exchanges, and protocols that all helped us end the exploit quickly.
We will use reserves to compensate liquidity providers for the aBNBc pools.https://t.co/B2yNWBAQdX
— Ankr (@ankr) December 2, 2022
引用
サムネ Ankr
図 coinmarketcap
