攻击者能够铸造6个四亿的aBNBc代币,最终变成了大约500万美元的USDC。
去中心化金融(DeFi)协议Ankr表示,它将向受周五早些时候其平台上发生的500万美元漏洞影响的用户进行补偿。
“我们将采取快照的方式,向漏洞发生前所有有效的aBNBc持有人重新发行ankrBNB。ankrBNB代币将继续被赎回,而aBNBc和aBNBb将不再被赎回,”Ankr在漏洞发生后的一条推文中说。
Ankr自称是第一个 “节点即服务 “平台,由于其代码中的一个错误,允许无限制地铸造其代币,因此遭遇了数百万美元的漏洞。
在铸造了四万亿的aBNBc代币后,攻击者能够将其中的20万亿换成BNB,然后将这些代币转移到加密货币混合器Tornado Cash。然后,攻击者将BNB代币换成500万USDC。
根据CoinGecko的数据,由于黑客几乎完全耗尽了PancakeSwap和ApeSwap上的aBNBc流动性池,该代币失去了近99%的价值。
根据安全研究公司PeckShield的说法,Ankr合约背后的代码允许任何用户在没有任何形式的验证的情况下,无限制地铸造该协议的奖励性盯盘代币。这使得攻击者可以铸造六万亿的aBNBc代币。
Ankr在推特上说,该协议内的所有抵押资产目前是安全的。Binance首席执行官Changpeng Zhao在推特上说,他的交易所已经冻结了被黑客发送到他的交易所的300万美元。
次要漏洞
链上分析公司Lookonchain报告说,一个投机取巧的交易员能够利用该漏洞套现,将10个BNB(2,885美元)变成1550万BUSD。该交易员通过利用DeFi借贷协议Helio做到这一点,该协议在崩盘后没有最新的aBNBc定价。
该交易员还能够利用崩盘前的aBNBc定价,借入1600万美元的交易量不大的HAY稳定币,并将其转换成BUSD。从那时起,HAY稳定币就被抛出了它的挂钩,创下了20美分的低点,根据CoinMarketCap的数据,现在正在恢复,价格为77美分。