BNB:黑客如何在三分钟利用3000美元套取1亿人民币？Ankr相关安全事件分析_YTNBchain

2022年12月2日，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，AnkStaking的aBNBc Token项目遭受私钥泄露攻击，攻击者通过Deployer地址将合约实现修改为有漏洞的合约，攻击者通过没有权限校验的0x3b3a5522函数铸造了大量aBNBc代币后卖出，攻击者共获利5500个BNB和534万枚USDC，约700万美元，Beosin Trace将持续对被盗资金进行监控。Beosin安全团队现将事件分析结果与大家分享如下。

据了解，Ankr 是一个去中心化的 Web3 基础设施提供商，可帮助开发人员、去中心化应用程序和利益相关者轻松地与一系列区块链进行交互。

Web3投注平台Dexsport遭黑客攻击损失价值40万美元的BUSD:12月7日消息，Web3投注平台Dexsport披露因遭黑客攻击已损失价值40万美元的BUSD，但智能合约没有受到影响。据称，黑客利用链下漏洞攻击了该平台，该漏洞与处理存款的唯一交易标识符“大小写记录”有关，目前相关漏洞已经修复，提款和存款也已恢复，损失资金为平台自有资金，不涉及客户资金。（newsbtc）[2022/12/7 21:29:14]

攻击发生之后，Ankr 针对 aBNBc 合约遭到攻击一事称，「目前正在与交易所合作以立即停止交易。Ankr Staking 上的所有底层资产都是安全的，所有基础设施服务不受影响。」

安全公司：MooCakeCTX项目黑客获利约143921美元:11月7日消息，MooCakeCTX遭到攻击，截至写稿时为止，黑客获利约143921美元。

经Fairyproof初步分析，发现疑似原因为该合约在用户质押前（depositAll函数）未结算奖励进行复投（未调用`earn`函数），这会导致用户在质押后就马上能获取以前的质押分红。攻击者在同一个区块内使用闪电贷借出 50000个cake代币后，连续两次进行质押，然后再提取质押的cake代币，归还后获利。攻击地址为: 0x35700c4a7bd65048f01d6675f09d15771c0facd5 , Fairyproof正严密注意该地址的动向，并提醒类似的合约注意防范此类问题。[2022/11/7 12:27:46]

攻击交易

观点：禁止加密货币对黑客影响不大 阻止人们使用加密资产是不可能的:许多政府都试图禁止加密货币，原因是加密货币的去中心化对传统金融系统构成了威胁，即便如此，禁止加密货币也不会对黑客或者有多大影响。如果目标是防止非法活动，解决滥用传统金融的问题才是重中之重。任何希望禁止加密货币的政府都不会成功。首先，阻止人们使用加密资产是不可能的，因为政府无法控制这些加密网络。虽然监管机构可能会给加密服务提供商带来困难，但这些公司对于维持加密货币而言，不一定是必不可少的。（Cointelegraph）[2021/6/24 0:03:30]

0xe367d05e7ff37eb6d0b7d763495f218740c979348d7a3b6d8e72d3b947c86e33

攻击者地址

公告 | Newdex 官方：表示未遭受黑客攻击:关于“ Fastwin 发布公告称 Newdex 受到攻击，请玩家不要交易 FAST ”事件，Newdex 官方公告表示并未遭受黑客攻击，用户资金是安全的，请放心交易。

去中心化交易所 Newdex 表示已经与 Fastwin 官方确认事件，证实属于 Fastwin 管理员描述错误，目前电报群公告已被撤回。具体攻击情况目前还不明确，请用户及DAPP开发者保持警惕。[2018/12/25]

0xf3a465C9fA6663fF50794C698F600Faa4b05c777 (Ankr Exploiter)

被攻击合约

0xE85aFCcDaFBE7F2B096f268e31ccE3da8dA2990A

动态 | 众多项目启动“道德黑客”赏金计划 EOS今年上半年赏金超10万美元:由于区块链技术的不稳定性，大量黑客的攻击事件证明了数字货币容易受到这一缺陷的影响。考虑到这一点，一些大规模项目已经启动了它们的赏金计划，以增强安全性和检测漏洞，仅2018年7月就向“道德黑客”发放了2.45万美元赏金。HackerOne数据显示，EOS向“道德黑客”发放的奖金最多，2018年7月发放了1.25万美元，2018年上半年总计超过10万美元。Tron提供了7000美元，Augur提供了5000美元，而Monero选择保留其匿名风格，没有透露赏金数额。[2018/7/10]

1. 在aBNBc的最新一次升级后，项目方的私钥遭受泄露。攻击者使用项目方地址（Ankr: Deployer）将合约实现修改为有漏洞的版本。

2.由攻击者更换的新合约实现中， 0x3b3a5522函数的调用没有权限限制，任何人都可以调用此函数铸造代币给指定地址。

3.攻击者给自己铸造大量aBNBc代币，前往指定交易对中将其兑换为BNB和USDC。

4. 攻击者共获利5500WBNB和534万USDC（约700万美元）。

由于Ankr的aBNBc代币和其他项目有交互，导致其他项目遭受攻击，下面是已知项目遭受攻击的分析。

Wombat项目：

由于Ankr Staking: aBNBc Token项目遭受私钥泄露攻击，导致增发了大量的aBNBc代币，从而影响了pair（0x272c...880）中的WBNB和aBNBc的价格，而Wombat项目池子中的WBNB和aBNBc兑换率约为1:1，导致套利者可以通过在pair（0x272c...880）中低价购买aBNBc,然后到Wombat项目的WBNB/aBNBc池子中换出WBNB，实现套利。目前套利地址（0x20a0...876f）共获利约200万美元，Beosin Trace将持续对被盗资金进行监控。

Helio_Money项目：

套利地址：

0x8d11f5b4d351396ce41813dce5a32962aa48e217

由于Ankr Staking: aBNBc Token项目遭受私钥泄露攻击，导致增发了大量的aBNBc代币，aBNBc和WBNB的交易对中，WBNB被掏空，WBNB价格升高。套利者首先使用10WBNB交换出超发后的大量aBNBc.之后将aBNBc交换为hBNB。以hBNB为抵押品在Helio_Money中进行借贷，借贷出约1644万HAY。之后将HAY交换为约1550万BUSD，价值接近1亿人民币。

针对本次事件，Beosin安全团队建议：1. 项目的管理员权限最好交由多签钱包进行管理。2. 项目方操作时，务必妥善保管私钥。3. 项目上线前，建议选择专业的安全审计公司进行全面的安全审计，规避安全风险。

Beosin

企业专栏

阅读更多

金色早8点

金色财经

去中心化金融社区

CertiK中文社区

虎嗅科技

区块律动BlockBeats

念青

深潮TechFlow

Odaily星球日报

腾讯研究院

标签：BNBNBCEOSWBNBBNB公链智能挖FTM可靠吗YTNBchainEOSJackswbnb币是什么

欧易交易所app下载热门资讯