Ankrプロトコルへのハッキング、20億円の二次被害

Helio Protocolで二次被害

暗号資産（仮想通貨）BNBを担保に発行する「ラップドBNB（aBNBc）」が、不正に発行されたAnkrプロトコル（ANKR）へのハッキング事件で、20億円規模の二次被害が明らかになった。

サイバーセキュリティ会社BlockSecによると、暴落したaBNBcを担保にHelio Protocolで1,640万HAY（21.5億円）が不当に引き出される二次被害が発生した。価格フィードの更新の隙を突かれたと見られ、取引履歴からは何者かが10BNB（40万円）で約18万3,000aBNBcを取得したことが分かっている。

Helio Protocolは、BNB関連資産を担保にステーブルコイン（HAY）を発行するDeFi（分散型金融）プロジェクト。aBNBcの価値は99.9%急落していたが、Helioが使用するオラクルのデータ更新よりも早く、攻撃者が資金を借り入れた。

3/ Step 4:
The attacker then swapped 16,444,740 HAY to 15,504,986 BUSD. The 15 M BUSD is then transferred to 0x4c7f5513894a99260bbfcf88311b544d6ca12757 and then to Binance hot wallet. pic.twitter.com/IiOzekIRZ4
— BlockSec (@BlockSecTeam) December 2, 2022

また、1,600万ドル相当のHAYがBinance USD（BUSD）に対して売却された影響で、HAYの価値は0.89ドルに低下して1ドルからの乖離（ディペッグ）が生じている（執筆時点）。BUSDは全て大手仮想通貨取引所Binanceに移されたが、同所CEOのChangpeng Zhao（CZ）氏によると、このうち300万ドル（4億円）分は差し押さえられている。

Possible hacks on Ankr and Hay. Initial analysis is developer private key was hacked, and the hacker updated the smart contract to a more malicious one. Binance paused withdrawals a few hrs ago. Also froze about $3m that hackers move to our CEX.
— CZ 🔶 Binance (@cz_binance) December 2, 2022

Ankrによる損失の補填

最初に攻撃のターゲットとされたのは、BNBチェーンなどでリキッド（流動的）ステーキングを提供するAnkrプロトコル（ANKR）。攻撃者は何らかの形でデプロイキー（コントラクトの管理鍵）を入手したと見られ、aBNBcのコードを悪質なものに更新して大量に発行した。

ブロックチェーンデータ閲覧サイト「BscScan」、及び分析機関Nansenによると千兆単位（6,000兆ドル）のaBNBcが発行されており、攻撃者はそのうち30億ドル相当（当時）を自身のウォレットに移した。

事態を受けて、Wombat Exchangeなど複数のDEX（分散型取引所）がaBNBcの取引を停止した。執筆時点にaBNBcの価値はゼロ扱いとされているが、その前に攻撃者はaBNBcをUSDCoin（USDC）などに交換し、結果的に500万ドル（6.7億円）相当の資産をイーサリアム（ETH）メインネットに移していた。

6/ The only users at risk were liquidity providers. We have started creating a list of the ones affected to make sure that we fully compensate them.
— Ankr (@ankr) December 2, 2022

Ankrは攻撃を受けたことを認め、攻撃者関連のアドレスからの入金への対応について、取引所と協力していると述べた。また、aBNBcと他の資産のセットで流動性提供（ロックアップ）をしていたユーザーについては、ハッキング被害に関連する損失の全額補填を約束している。

Ankrはまた、HAYのペグ回復を支援するために、不当なaBNBcを担保に発行されたHAYを、できるだけ多く購入し、バーン（焼却）する方針だ。

関連：三菱UFJ信託銀行ら、ステーブルコインの導入・普及に向けた実証検証へ