Une clé privée compromise a conduit à une « infinité mint’ exploit ciblant Ankr, les retombées causant des dommages collatéraux amplifiés au projet stablecoin Helio Money.
Ankr fournit des services de jalonnement liquide sur la blockchain BNB de Binance, entre autres. Les utilisateurs peuvent déposer des BNB qui sont verrouillés pour sécuriser la chaîne sous le modèle Proof of Stake, en recevant un dépôt token en retour.
Les exploités tokenaBNBc, accumule des récompenses de mise via Ankr tout en permettant aux utilisateurs d’utiliser leur capital ailleurs dans DeFi, ou de retirer efficacement leur position de mise en revenant à BNB.
Les clés privées compromises sont souvent obtenues via des campagnes de phishing sophistiquées ciblant des projets de cryptographie, une technique préférée des pirates notoires du groupe Lazarus parrainés par l’État de la RPDC.
Lire la suite : Comment la RPDC est devenue une centrale de piratage et pourquoi elle aime la crypto
Une fois la clé compromise du compte Deployer d’Ankr obtenue, l’attaquant a pu mettre à niveau l’aBNBc tokendu contrat pour inclure du code malveillant. Le contrat mis à jour comprenait un code qui contournait les mécanismes de vérification, permettre à quiconque de mint nouveau aBNBc jetons.
L’audit du projet avait mis en garde contre le « problème de confiance des clés d’administration », mais Ankr n’a pas pris les mesures recommandées pour se protéger contre le problème.
Bien que l’attaquant ait frappé plusieurs lots de 10 billions de jetons, censés être évalués à environ 300 dollars chacun, ils ne pouvaient s’en tirer qu’avec les 5 millions de dollars disponibles via les pools de liquidités de l’échange décentralisé PancakeSwap.
Les stablecoins résultants ont été principalement envoyés au réseau Ethereum, où ils sont déposés dans Tornado Cash afin de masquer la piste des fonds.
Lire la suite: Explicateur : Ce qu’il faut savoir sur le mélangeur crypto Tornado Cash
L’épuisement des liquidités en chaîne a fait chuter le prix de l’aBNBc, ce qui a ouvert la voie à de nouvelles attaques.
Helio Money est un projet stablecoin qui accepte aBNBc comme garantie, contre laquelle les utilisateurs peuvent emprunter le stablecoin HAY. Un compte séparé (éventuellement le même attaquant) a profité de l’aBNBc de-peggedachetant 183 884 aBNBc pour seulement 10 BNB.
Cela a ensuite été utilisé comme garantie sur Helio pour emprunter 16,4 millions de HAY avant que le flux de prix pour aBNBc ne soit mis à jour pour refléter le prix effondré. Les fonds résultants ont ensuite été échangés contre 15,5 millions d’USD indexés sur Binance, brisant ainsi l’ancrage du stablecoin HAY.
Un autre utilisateur a profité de 3,5 millions de dollars en utilisant la même technique. Le produit des deux a été déposé à Binance, qui réclamer avoir gelé 3 millions de dollars jusqu’à présent.
Pour des nouvelles plus informées, suivez-nous sur Twitter et Abonnez vous à notre feed ou écoutez notre podcast d’investigation Innové : Blockchain Ville.