BNB:黑客如何在三分钟利用3000美元套取1亿人民币？Ankr相关安全事件分析_ANK

2022年12月2日，据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示，AnkStaking的aBNBcToken项目遭受私钥泄露攻击，攻击者通过Deployer地址将合约实现修改为有漏洞的合约，攻击者通过没有权限校验的0x3b3a5522函数铸造了大量aBNBc代币后卖出，攻击者共获利5500个BNB和534万枚USDC，约700万美元，BeosinTrace将持续对被盗资金进行监控。Beosin安全团队现将事件分析结果与大家分享如下。

#Ankr是什么？

据了解，Ankr是一个去中心化的Web3基础设施提供商，可帮助开发人员、去中心化应用程序和利益相关者轻松地与一系列区块链进行交互。

一白帽黑客从0xSifu处获得100ETH，计划返还资金:4月9日消息，推特用户Trust发推表示，刚才以白帽黑客形式从Frog Nation前CFO 0xSifu处获得100ETH，计划返还这些资金。此前报道，SushiSwap的Router Process 2合约似乎存在一个与approve有关的漏洞，导致FrogNation前CFO 0xSifu损失约1900枚ETH（超330万美元）。[2023/4/9 13:52:50]

攻击发生之后，Ankr针对aBNBc合约遭到攻击一事称，「目前正在与交易所合作以立即停止交易。AnkrStaking上的所有底层资产都是安全的，所有基础设施服务不受影响。」

PeckShield：Rari Capital事件的黑客参与Nomad跨链桥攻击，获利约300万美元:8月2日消息，派盾（PeckShield）监测显示，Nomad跨链桥攻击者之一是Rari Capital被盗事件的黑客，他在此次Nomad攻击中获利约300万美元。

据此前报道，今年4月份Rari Capital在Fuse上的资金池遭到攻击，黑客获利近8000万美元。[2022/8/2 2:53:02]

#本次攻击事件相关信息

攻击交易

0xe367d05e7ff37eb6d0b7d763495f218740c979348d7a3b6d8e72d3b947c86e33

攻击者地址

0xf3a465C9fA6663fF50794C698F600Faa4b05c777(AnkrExploiter)

被攻击合约

0xE85aFCcDaFBE7F2B096f268e31ccE3da8dA2990A

DAO Maker为受黑客事件影响的用户分两个阶段提供全额补偿:8月18日消息，DAOMaker为最近受黑客事件影响的用户推出补偿计划。所有受黑客攻击影响的用户都将得到全额补偿，补偿计划将分2个阶段进行。第一阶段为下次SHO之前的8月19日，所有受到影响用户的钱包中将会收到500美元空投，这笔钱能够用来参与SHO或提现。第二阶段，DAOMaker会在8月19日的一年后以DAO代币的形式补偿给用户，并且会有10%的附加收益。2021年9月8日，DAOMaker会空投USDR代币，代表1年后的赎回权，每个USDR代币相当于1.1个DAO的价值。2022年9月8日，所有的USDR代币将会部署在一个智能合约里，以供用户换取DAO代币，所有的USDR将在那时被销毁。个DAO的价值。2022年9月8日，所有的USDR代币将会部署在一个智能合约里，以供用户换取DAO代币，所有的USDR将在那时被销毁。[2021/8/18 22:21:43]

#攻击流程

1.在aBNBc的最新一次升级后，项目方的私钥遭受泄露。攻击者使用项目方地址将合约实现修改为有漏洞的版本。

Filecoin公布“虚拟黑客马拉松”获奖者名单:据Filecoin官方发布，在宣布SpaceRace（Filecoin矿工的全球竞赛）之后，Filecoin公布“虚拟黑客马拉松”获奖名单，第一名获得者是DeepVerse团队；第二名获得者是Filecoin定价机制；第三名获奖者是Filecoin Research Repository背后的团队；

此前报道，Filecoin将于7月6日至8月6日开设为期30天的“虚拟黑客马拉松”。据介绍，HackFS旨在为分散式网络奠定基础。开发人员将构建dapp、游戏开发工具，DeFi集成以及其他利用分散存储的技巧。[2020/9/9]

推特称黑客访问了36名受害者的直接信息功能:Twitter在周三表示，黑客访问了36名受害者的直接信息功能（direct messages），直接信息类似于电话文字消息，通常被假定为私人消息。这一披露可能会导致用户对该服务防止外部人士阅读的能力失去信心。推特称调查仍在继续，将公布关于攻击者对访问帐户做了什么的更多细节。（CNBC）[2020/7/23]

2.由攻击者更换的新合约实现中，0x3b3a5522函数的调用没有权限限制，任何人都可以调用此函数铸造代币给指定地址。

3.攻击者给自己铸造大量aBNBc代币，前往指定交易对中将其兑换为BNB和USDC。

4.攻击者共获利5500WBNB和534万USDC。

#受影响的其他项目：

由于Ankr的aBNBc代币和其他项目有交互，导致其他项目遭受攻击，下面是已知项目遭受攻击的分析。

Wombat项目：

由于AnkrStaking:aBNBcToken项目遭受私钥泄露攻击，导致增发了大量的aBNBc代币，从而影响了pair中的WBNB和aBNBc的价格，而Wombat项目池子中的WBNB和aBNBc兑换率约为1:1，导致套利者可以通过在pair中低价购买aBNBc,然后到Wombat项目的WBNB/aBNBc池子中换出WBNB，实现套利。目前套利地址共获利约200万美元，BeosinTrace将持续对被盗资金进行监控。

Helio_Money项目：

套利地址：

0x8d11f5b4d351396ce41813dce5a32962aa48e217

由于AnkrStaking:aBNBcToken项目遭受私钥泄露攻击，导致增发了大量的aBNBc代币，aBNBc和WBNB的交易对中，WBNB被掏空，WBNB价格升高。套利者首先使用10WBNB交换出超发后的大量aBNBc.之后将aBNBc交换为hBNB。以hBNB为抵押品在Helio_Money中进行借贷，借贷出约1644万HAY。之后将HAY交换为约1550万BUSD，价值接近1亿人民币。

#事件总结

针对本次事件，Beosin安全团队建议：1.项目的管理员权限最好交由多签钱包进行管理。2.项目方操作时，务必妥善保管私钥。3.项目上线前，建议选择专业的安全审计公司进行全面的安全审计，规避安全风险。

标签：BNBNBCUSDANKbnb可以和几个女主互动BNBCH币usdt币怎么兑换人民币SAFEBANK

BNB热门资讯