Geçtiğimiz gün milyonlarca dolar zarara yol açan bir saldırıya uğrayan BNB Chain tabanlı protokol Ankr, 2 Aralık tarihli blog gönderisiyle sonraki adımlarını kullanıcıları ile paylaştı.

Protokol ekibi, merkeziyetsiz borsalara likidite sağlayanları (LP) ve aBNBc veya aBNBb LP'lerini destekleyen protokolleri tespit etmek için çalıştıklarını açıkladı. Ekip, buna ek olarak Midas ve Helio gibi aBNBc teminat havuzlarının da değerlendirildiğini belirtti. Gönderiye göre Ankr, 5 milyon dolarlık BNB satın alarak saldırıdan etkilenen likidite sağlayıcılarının zararlarını tazmin etmeyi planlıyor.

Bazı kullanıcılar saldırıdan sonra etkisini kaybetmiş aBNBc ile spekülatif alım satım da yaptılar. Fakat DeFi şirketi, bu katılımcıların protokolün tazminat önlemlerine dahil edilmeyeceğini duyurdu. Şirket, "Yalnızca olaya hazırlıksız yakalanmış likidite sağlayıcılarının zararlarını tazmin edeceğiz" açıklamasını yaptı.

Geliştiriciler, saldırının nasıl gerçekleştiğini kısaca açıkladı. Kötü amaçlı bir aktör, protokolde akıllı sözleşmeleri çalıştırmak için kullanılan anahtar erişim sağladı. Sözleşmeler güncellenebilir olduğundan dolayı, saldırgan sözleşmelerden birinin tamamen yeni bir versiyonunu çalıştırabildi. Böylece yetki kontrolleri olmadan sınırsız sayıda coin basabildi.

Saldırgan, söz konusu işlemlerin ardından 60 trilyon kadar aBNBb token'ı "havadan" bastı. Devamında USDC'ye dönüştürülen token'lar, blockchain köprüleri yoluyla Ethereum'a taşındı.

Ankr ekibi, saldırıdan sonra sözleşmelerin sahipliğini yeni ve ele geçirilmemiş bir hesaba aktardı. Saldırgan da böylece durdurulmuş oldu. Ankr, sonrasında ise DEX'leri aBNBc ve aBNBb alım satımına izin vermemeleri konusunda uyardı.

Blog gönderisinde aBNBc ve aBNBb'nin mevcut versiyonlarının BNB ile takas edilemeyeceği vurgulandı. Tazminat süreci için kullanıcı bakiyelerinin saldırı öncesi blockchain görüntüleri kullanılacak. Yani 2 Aralık 2022 Türkiye saati ile 15:43'ten sonra yapılan işlemlerden doğan zararlar tazmin edilmeyecek.