პლატფორმა ANKR-ის ექსპლოიტი: ზარალი, შესაძლოა, უფრო დიდი იყოს
დღეს ღამე დაუდგენელმა პირმა პროტოკოლ ANKR-ში არსებული მოწყვლადობით ისარგებლა და უკანონოდ 10 ტრილიონი შეფუთული ტოკენი aBNBc გამოუშვა.
განხორციელებული ექსპლოიტის შემდეგ გატეხით (ოფიციალურად) 2-მა ჰაკერმა იხეირა.
პირველმა, ბანალურად, aBNBc-ის „დასტა“ გაყიდა და ამგვარად დეცენტრალიზებულ ბირჟაზე Pancake Swap ლიკვიდურობის პული გაწმინდა. მანიპულაციით მიღებულმა შემოსავალმა $5 მილიონი დოლარი შეადგინა. მეორე ბოროტმოქმედი უფრო ცბიერად მოიქცა.
მან aBNBc-ის საბაზრო კურსის ვარდნა შეამჩნია, 10 BNB-ის სანაცვლოდ 180К aBNBc იყიდა, პროტოკოლ Helio-ს hBNB-ზე გადაცვალა და პროექტის სტეიბლკოინში კრედიტის აღებისთვის გირაოს სახით გამოიყენა. შემდეგ ამ სტეიბლის $16 მილიონი ერთეული BUSD-ზე გადაცვალა და უზრუნველყოფად თავისი 10 BNB დატოვა. შედეგად $3K დაკარგა, $16 გამოიმუშავა.
გატეხები ნორმად იქცევა
დეცენტრალიზებული პროტოკოლის გატეხის რამდენიმე გზა არსებობს:
- სავაჭრო წყვილის ლიკვიდობის გატანა, თუ სახსრები სპეციალური სმარტ-კონტრაქტით დაბლოკილი არ არის;
- მილიარდობით ახალი ტოკენების ემიტირება (სმარტ-კონტრაქტში შეცდომის გამოყენებით), მათი საბაზრო ფასში გაყიდვის მიზნით;
- დაცემული ტოკენის გამოსყიდვა, შემდეგ კი მისი დახმარებით უზარმაზარი კრედიტის აღება.
- ტოკენის გამოსყიდვა და ხიდის მეშვეობით მონეტების სხვა ქსელში გადატანა, მოგვიანებით კი ორიგინალური ტოკენის საბაზრო კურსით გაყიდვა.
ბოლო 2 ხერხი, რეალურად, არბიტრაჟის შესაძლებლობაა. სანამ ბირჟები და დაზარალებული პროექტები გატეხაზე რეაგირებას მოასწრებდნენ, ჰაკერები ტოკენებს კაპიკებში ყიდულობენ და რამდენიმე მანიპულაციით დაახლოებით საბაზრო ფასში ყიდიან.
pGALA-მ „პანდორას ყუთი“ გახსნა
ANKR-ის გატეხის ასახსნელად, მოდით, ქსელ BSC-ში ტოკენ GALA-ს ბოლოდროინდელ ექსპლოიტს დავუბრუნდეთ. ერთი თვის წინ, ჰაკერი pNetwork-ს დაესხა თავს და ტრილიონობით ტოკენი pGALA გამოუშვა, რის შემდეგაც DEX ბირჟებზე წარმატებით გაყიდა ისინი. მაგრამ, როგორც aBNBc-ის შემთხვევაში, გატეხის აზრი ეს სულაც არ ყოფილა.
პლატფორმების ორგანიზაციული მოუწესრიგებლობის გამო, GALA-ს შეყვანა ქსელ BSC-ში ზოგიერთ ბირჟაზე გატეხიდან მთელი 30-40 წუთის განმავლობაში იყო ღია. რიგითი მომხმარებლები მონეტას საბაზრო ღირებულებაზე 100-ჯერ იაფად ყიდულობდნენ, CEX-ში გადაჰქონდათ და ყიდდნენ. ყველაზე მეტად ბირჟა Huobi დაზარალდა, რომელმაც, საბოლოოდ, pNetwork იმაში დაადანაშაულა, რომ პროექტის გუნდმა სმარტ-კონტრაქტში საძრომი სპეციალურად დატოვა და გატეხის გამოცხადებამდე პაუზა განზრახ შეინარჩუნა.
ყველა ბირჟაზე pGALA-ს შეყვანის დასრულების შემდეგაც კი, მეარბიტრაჟეები ტოკენს ხიდით ატარებდნენ და მონეტებს Ethereum-ის ქსელში DEX-ზე ყიდდნენ.
«თუ pNetwork-ისთვის შეიძლება, ჩემთვის რატომ არ შეიძლება?»
გარდა იმისა, რომ ANKR-ის aBNBc-ის გამოყენება კიდევ ერთი საათის მანძილზე იყო შესაძლებელი საკრედიტო პროტოკოლებში, რომლებიც აქტივებს „სრული ღირებულებით“ ითვლიდნენ, ხიდების დახმარებით მშვენივრად იცვლებოდა aBNBc-ს wBNB-ზე, hBNB-ზე, stBNB-სა სხვა შეფუთულ ტოკენებზე, რის შემდეგაც BNB-ში საბაზრო ფასში იყიდებოდა. ყველაზე მეტად ხიდები deBridgeGate და Celer იყო ჩართული.
ამასთან, ზოგიერთმა მომხმარებელმა განაცხადა, რომ aBNBc-ის ორიგინალურ BNB-ზე გადაცვლაც კი მოახერხა, რის შემდეგ ისიც ადვილად გაყიდა. მონეტის კურსი ამით დიდად არ დაზარალდა, კაპიტალიზაცია ხომ ზედმეტად დიდია.
მეარბიტრაჟეების საზოგადოებაში დღეს ბევრი ზეიმობს. 20 წუთში მათ მთელი ქონება იშოვეს, ამასთან ჩრდილში დარჩნენ. ოფიციალურ განცხადებაში ANKR-მა აღნიშნა, რომ დაზარალდა მხოლოდ პული Pancake Swap-ზე და პროტოკოლი Helio, თუმცა რეალობაში, თავდასხმის მსხვერპლი გაცილებით მეტი იყო, ზარალი კი, შესაძლოა, $60-80 მლნ დოლარს აღწევდეს, თუკი მხოლოდ დეცენტრალიზებულ პლატფორმებს ავიღებთ მხედველობაში.
ექსპლოიტის შედეგად aBNBc-ის კურსის ვარდნა
ქსელში უმალ გაჩნდა ვერსია, რომ თავდასხმა თავად პროტოკოლ ANKR-ის მიერ იყო დაგეგმილი, რომელმაც ექსპლოიტის შესაძლებლობა საბაზო კონტრაქტში დატოვა და ის, რომ სახსრების „გათეთრებისთვის“ Tornado Cash და ანონიმური პროტოკოლი Zcash (ZEC) იყო გამოყენებული, აჩვენებს, რომ ბოროტმოქმედი იერიშს დიდი ხნის განმავლობაში ამზადებდა და კვალის არევა წინასწარ ჰქონდა გათვლილი. ANKR-მა კი განაცხადა, რომ კომპენსაციას ყველა მომხმარებელს გადაუხდის, ვინც საბაზო თავდასხმისგან დაზარალდა. ანუ მათ, ვინც გატეხამდე aBNBc-ს ფლობდა. ეს სულ რაღაც $5 მილიონია. დანარჩენ ზარალთან კი ANKR, მათი თქმით, არაფერ შუაშია.
სავარაუდოდ, მომავალში ასეთი თავდასხმების რიცხვი მხოლოდ მოიმატებს, და მათი პრევენციისთვის სმარტ-კონტრაქტების უფრო ზედმიწევნითი შემოწმება და სიტუაციაზე სწრაფი რეაგირება, ასევე ყველა ხვრელის დახურვაა აუცილებელი. რიგით მომხმარებლებს კი მხოლოდ ის რჩებათ, რომ რისკების სწორი დივერსიფიკაცია მოახდინონ და მინიმალურად იმუშაონ პროექტებთან, რომელთა ალგორითმებში ისინი ვერ ერკვევიან.