2022年12月2日,据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示,AnkStaking的aBNBcToken项目遭受私钥泄露攻击,攻击者通过Deployer地址将合约实现修改为有漏洞的合约,攻击者通过没有权限校验的0x3b3a5522函数铸造了大量aBNBc代币后卖出,攻击者共获利5500个BNB和534万枚USDC,约700万美元,BeosinTrace将持续对被盗资金进行监控。Beosin安全团队现将事件分析结果与大家分享如下。
#Ankr是什么?
据了解,Ankr是一个去中心化的Web3基础设施提供商,可帮助开发人员、去中心化应用程序和利益相关者轻松地与一系列区块链进行交互。
报告:DeFi领域中约50%的黑客攻击与跨链桥相关:金色财经报道,根据Token Terminal的一份报告,DeFi领域中大约50%的攻击发生在跨链桥上。在过去两年的时间里,黑客利用跨链桥上的漏洞盗取超25亿美元。与其他安全漏洞相比,这个数额是巨大的,比如在此期间的DeFi借贷黑客攻击(7.18亿美元)和去中心化交易所的漏洞(3.62亿美元)。
Immunefi首席执行官和安全专家Mitchell Amador解释说,DeFi领域的一些开发者缺乏必要的知识来保护这种复杂的机制。Amador称:“许多开发者通过简单地复制和粘贴其他项目的代码来启动项目。当其中一个项目有漏洞时,其他项目通常也有这个漏洞。开源智能合约,由于所有人都可以看到和访问,很容易吸引黑客研究它们,发现它们的漏洞,并利用它们。”(Cointelegraph)[2022/10/20 16:31:25]
攻击发生之后,Ankr针对aBNBc合约遭到攻击一事称,「目前正在与交易所合作以立即停止交易。AnkrStaking上的所有底层资产都是安全的,所有基础设施服务不受影响。」
Harmony:将在两周内与社区讨论Horizo??n黑客事件的恢复计划:7月15日消息,Harmony官方推特表示,将在两周内与社区讨论恢复计划的细节,该计划涉及14种资产中大约5万个钱包,总计9760万美元,由社区投票决定最终结果。据此前报道,公链项目Harmony跨链桥Horizo??n宣布遭受黑客攻击,损失约1亿美元。[2022/7/15 2:15:19]
#本次攻击事件相关信息
攻击交易
0xe367d05e7ff37eb6d0b7d763495f218740c979348d7a3b6d8e72d3b947c86e33
攻击者地址
摩根溪联合创始人:黑客索要BTC是因为BTC是唯一有价值的货币:7月16日,针对众多名人推特被黑并发布数字货币钓鱼局一事,摩根溪联合创始人Jason?Williams发推称,黑客之所以要比特币,是因为比特币是唯一真正有价值的货币。[2020/7/16]
0xf3a465C9fA6663fF50794C698F600Faa4b05c777(AnkrExploiter)
被攻击合约
0xE85aFCcDaFBE7F2B096f268e31ccE3da8dA2990A
#攻击流程
1.在aBNBc的最新一次升级后,项目方的私钥遭受泄露。攻击者使用项目方地址将合约实现修改为有漏洞的版本。
媒体:爱沙尼亚加密货币交易所Crex24或被黑客攻击:有媒体收到匿名信息举报,爱沙尼亚加密货币交易所Crex24在2月初突然撤出13亿个HTMLcoin之后或遭受黑客攻击。?HTMLcoin最初于2020年1月在Crex24上上线,但是,用户的HTMLcoin资金突然从交易所中消失了,导致许多人怀疑是黑客入侵造成的。?此后,Crex24确认HTMLcoin钱包已受到影响,并表示正在与山寨币团队合作以弥补损失。(CryptoGlobe)[2020/3/8]
分析 | 黑客掀起“夺宝”拉锯战 Fomo3D类游戏频受阻塞攻击:据PeckShield数据监测中心显示,8月23日,昨日Fomo3D 10,469个ETH的获得者“0xa169”,开始在多款类Fomo3D游戏(Last Winner、Peach Will、Super Card)上部署攻击合约。
在山寨Fomo3D(Peach Will)的交易列表里,0xa169至少发起了10次以上的阻塞攻击。由于该黑客通过提高gasprice独霸矿池打包权的攻击行为已经被曝光,每当其同时用15个钱包地址一并发出交易伺机拥堵以太坊网络时,就会有“竞争者”以更高的gasprice阻断其攻击合约实施拥塞控制。
PeckShield分析人员认为,这样已经严重损害了该类游戏的可玩性,使其沦为黑客间互相竞技的搏斗场。长此以往,会透支游戏公信力,加速Fomo3D类游戏的衰亡。[2018/8/23]
2.由攻击者更换的新合约实现中,0x3b3a5522函数的调用没有权限限制,任何人都可以调用此函数铸造代币给指定地址。
3.攻击者给自己铸造大量aBNBc代币,前往指定交易对中将其兑换为BNB和USDC。
4.攻击者共获利5500WBNB和534万USDC。
#受影响的其他项目:
由于Ankr的aBNBc代币和其他项目有交互,导致其他项目遭受攻击,下面是已知项目遭受攻击的分析。
Wombat项目:
由于AnkrStaking:aBNBcToken项目遭受私钥泄露攻击,导致增发了大量的aBNBc代币,从而影响了pair中的WBNB和aBNBc的价格,而Wombat项目池子中的WBNB和aBNBc兑换率约为1:1,导致套利者可以通过在pair中低价购买aBNBc,然后到Wombat项目的WBNB/aBNBc池子中换出WBNB,实现套利。目前套利地址共获利约200万美元,BeosinTrace将持续对被盗资金进行监控。
Helio_Money项目:
套利地址:
0x8d11f5b4d351396ce41813dce5a32962aa48e217
由于AnkrStaking:aBNBcToken项目遭受私钥泄露攻击,导致增发了大量的aBNBc代币,aBNBc和WBNB的交易对中,WBNB被掏空,WBNB价格升高。套利者首先使用10WBNB交换出超发后的大量aBNBc.之后将aBNBc交换为hBNB。以hBNB为抵押品在Helio_Money中进行借贷,借贷出约1644万HAY。之后将HAY交换为约1550万BUSD,价值接近1亿人民币。
#事件总结
针对本次事件,Beosin安全团队建议:1.项目的管理员权限最好交由多签钱包进行管理。2.项目方操作时,务必妥善保管私钥。3.项目上线前,建议选择专业的安全审计公司进行全面的安全审计,规避安全风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。