BNBチェーンベースの分散型金融(DeFi)プロトコルAnkrは、12月1日に数百万ドルの不正流出に遭ったことを明らかにした。

この攻撃は、オンチェーンセキュリティアナリストのPeckShieldが12月2日12時35分頃(UTC)に初めて報告していた

攻撃から1時間以内に、AnkrはツイッターでaBNBトークンが悪用されたことを確認し、取引所と協力して、侵害されたトークンの取引を直ちに停止していることを明らかにした。

攻撃者は、プロトコルにステーキングされたBNBの報酬付きトークンである20兆Ankr Reward Bearing Staked BNB(aBNBc)をミントできたとされる。

オンチェーン分析会社Lookonchainのツイッター投稿によると、その後、攻撃者はUniswap、Tornado Cash、各種ブリッジなどのサービスを使って流出資産を交換・難読化し、約500万ドル相当のUSDコイン(USDC)を獲得している。

またAnkrは、次の投稿で、「Ankrステーキングのすべての原資産は現時点で安全であり、すべてのインフラサービスには影響がない」と付け加えている

ブロックチェーンセキュリティ企業Beosinは、コインテレグラフへのコメントの中で、この攻撃はスマートコントラクトコードの脆弱性と不正アクセスされた秘密鍵が結びついた結果であり、約12時間前のAnkrチームによる技術アップグレードが原因だった可能性が高いと指摘した。

またBeosinは、大量ミントによって、aBNBcの価格が数時間のうちに303.89ドルから1.53ドルまで99.5%下落したと指摘している。

Beosinは「今回のアップグレードでデプロイヤーの秘密鍵が公開され、デプロイヤーの権限を使った攻撃者がコントラクトを変更することになった可能性がある」と話す。

12月2日のツイッター投稿で、仮想通貨取引所バイナンスはまた、問題を調査するために関連者と協力していることを明らかにし、バイナンスのユーザー資金が危険にさらされていないと付け加えた。