Un doppio attacco Hacker ha colpito Ankr ed Helio Protocol: i malintenzionati hanno rubato oltre 20 milioni di euro la settimana scorsa.
Un paio di hack correlati hanno prosciugato 20 milioni di dollari da due progetti separati.
Un hacker ha derubato il fornitore di infrastrutture di staking Ankr per $5 milioni. Un secondo hacker ha utilizzato i suoi wrapped BNB, allora quasi privi di valore, per truffare l’emittente di stablecoin Helio Protocol per $15 milioni.
Doppio attacco hacker: colpiti Ankr e Helio Protocol
Il primo ha sfruttato il fornitore di infrastrutture di staking DeFi Ankr per $5 milioni in un modo che ha fatto crollare il prezzo del suo token di ricompensa aBNBc – un token BNB wrappato – quasi a zero.
Ciò ha aperto la porta a un secondo attacco, in cui qualcuno ha acquistato 183.000 dei token aBNBc crashati per circa $3.000, e poi li ha scambiati con $16 milioni di stablecoin HAY sulla BNB Chain di Helio Protocol al prezzo pre-crash, grazie a un aggiornamento lento del prezzo dell’oracolo, secondo la società di sicurezza blockchain BlockSec.
L’attaccante ha quindi prontamente scambiato quelle HAY con 15,5 milioni di dollari di stablecoin BUSD, causando un’enorme perdita per Helio. Almeno 3 milioni di dollari sono stati spostati in un hot wallet di Binance e congelati, ha twittato il CEO Changpeng “CZ” Zhao.
Non è chiaro se l’attacco Helio sia stato effettuato dallo stesso hacker o da uno separato lanciato all’improvviso.
Ankr affonda
Zhao ha aggiunto che sembrava essere iniziato quando una chiave privata dello sviluppatore di Ankr è stata violata. Questo ha consentito al truffatore di sostituire “lo smart contract con uno dannoso“.
Nello specifico, il nuovo contratto intelligente ha permesso all’hacker di coniare “token aBNBc per un valore di 4 QUADRILIONI di dollari (BNB wrapped su Ankr) e [venderli] nel pool di liquidità principale“. Lo ha twittato la società di intelligence crittografica Arkham. L’hacker li ha venduti per stablecoin USDC e li ha bridgati su Ethereum. In tal modo, l’hacker ha ripulito una serie di pool di liquidità di BNB.
Tra l’altro, il ladro ha inviato circa 250.000 dollari di illeciti tramite Tornado Cash. Si tratta del servizio di missaggio sanzionato ad agosto dal Dipartimento del Tesoro degli Stati Uniti. Gli hacker nordcoreani del Lazarus Group hanno usato la piattaforma per riciclare centinaia di milioni di dollari, probabilmente per sostenere il programma nucleare della nazione.
Ankr si è impegnata ad acquistare 5 milioni di dollari in BNB “per risarcire integralmente i fornitori di liquidità che sono stati colpiti dall’exploit a causa del drenaggio del pool di liquidità“.
Sta inoltre sostituendo tutti i token aBNBc (e aBNBb) con il nuovo ankrBNB, utilizzando un’istantanea pre-hack. I vecchi token “non saranno più riscattabili“, ha aggiunto Ankr.
Uno o due?
Arkham ha affermato che il secondo attacco a Helio sembra essere stato un’opportunità piuttosto che pianificata e coordinata. Ha spiegato:
“Poiché il bug del contratto era sfruttabile pubblicamente, iniziarono a verificarsi attacchi copycat, sebbene fossero molto meno efficaci“.
Un imitatore su circa 70, ha osservato, “ha semplicemente venduto trilioni di aBNBc ormai senza valore nel pool di liquidità per $2,52“.
Ma un altro in realtà ha acquistato aBNBc quasi senza valore dal pool di liquidità, spendendo 10 BNB (del valore di circa $290 all’epoca) Arkham ha detto, aggiungendo:
“Questo perché si sono resi conto che un altro protocollo avrebbe consentito loro di collateralizzarlo per il prestito e contrassegnarlo come normale BNB. Quel protocollo era @Helio_Money“.