2022年12月2日,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,AnkStaking的aBNBc Token项目遭受私钥泄露攻击,攻击者通过Deployer地址将合约实现修改为有漏洞的合约,攻击者通过没有权限校验的0x3b3a5522函数铸造了大量aBNBc代币后卖出,攻击者共获利5500个BNB和534万枚USDC,约700万美元,Beosin Trace将持续对被盗资金进行监控。Beosin安全团队现将事件分析结果与大家分享如下。
据了解,Ankr 是一个去中心化的 Web3 基础设施提供商,可帮助开发人员、去中心化应用程序和利益相关者轻松地与一系列区块链进行交互。
Scroll成为ETH Beijing黑客松的协办方及赞助方:据官方消息,以太坊 zk-rollup 扩容项目 Scroll 成为 ETH Beijing 黑客松的协办方及赞助方,用户可以从官方链接报名参与 ETH Beijing 黑客松。[2023/3/10 12:53:48]
攻击发生之后,Ankr 针对 aBNBc 合约遭到攻击一事称,「目前正在与交易所合作以立即停止交易。Ankr Staking 上的所有底层资产都是安全的,所有基础设施服务不受影响。」
攻击交易
0xe367d05e7ff37eb6d0b7d763495f218740c979348d7a3b6d8e72d3b947c86e33
Raydium漏洞补偿提案投票通过,将补偿因黑客攻击受损的投资者:据官方消息,Solana生态去中心化交易所Raydium的漏洞补偿提案以100%的支持率获得投票通过,该提案旨在补偿因12月15日黑客攻击而受损的投资者。
补偿资金来源于两部分,分别为1. 使用Squad的多签部署withdrawPNL并从金库收集PNL,所赚取的费用将用于回购RAY并存入指定地址。2. 运用金库资产来补偿黑客攻击造成的损失。
此前12月16日消息,Raydium多个资金池遭到攻击,总损失约为439.5万美元。[2023/1/3 22:23:23]
攻击者地址
0xf3a465C9fA6663fF50794C698F600Faa4b05c777 (Ankr Exploiter)
拥有1300万粉丝的社交媒体网红Scuba Jake账号被黑客窃取,粉丝被盗金额已超1.01 BTC:金色财经报道,拥有1300万粉丝的社交媒体网红Scuba Jake的视频账号被黑客窃取,而且播放了BTC和ETH欺诈信息的虚假赠品活动,数据显示已有粉丝上当,目前黑客已非法获得了1.01 BTC,约合2.1万美元,同时还将其视频频道名称改为“MicroStargey US”,冒充对加密货币友好的美国商业情报公司 MicroStrategy。(Finbold)[2022/9/11 13:22:11]
被攻击合约
0xE85aFCcDaFBE7F2B096f268e31ccE3da8dA2990A
1. 在aBNBc的最新一次升级后,项目方的私钥遭受泄露。攻击者使用项目方地址(Ankr: Deployer)将合约实现修改为有漏洞的版本。
Bitfinex黑客再次转移12枚比特币:Whale Alert数据显示,北京时间8月3日22:13,11.91枚Bitfinex于2016年被盗的比特币被转入3CUaHy开头未知钱包地址。[2020/8/4]
2.由攻击者更换的新合约实现中, 0x3b3a5522函数的调用没有权限限制,任何人都可以调用此函数铸造代币给指定地址。
谨防电话号码被黑客用于盗取数字货币:目前,黑客通过说服移动电话公司将受害者的号码转移到他们的设备上而进行的网络犯罪越来越多。黑客利用电话号码可以获取用户邮箱、社交媒体和数字货币账号并重置帐户密码。这导致很多用户的数字货币被盗。为了数字货币账号安全,可以采取以下措施:(1)为手机帐户添加密码;(2)创建专门用于数字货币帐户的邮箱;(3)使用仅用于数字货币帐户的电话号码;(4)使用Google认证,而非短信认证;(5)定期更改密码,多个帐户不使用相同密码。更重要的是:将数字货币保存在安全的(离线)多签名钱包中,并在网络和生活中对于数字货币交易保持低调。[2018/2/24]
3.攻击者给自己铸造大量aBNBc代币,前往指定交易对中将其兑换为BNB和USDC。
4. 攻击者共获利5500WBNB和534万USDC(约700万美元)。
由于Ankr的aBNBc代币和其他项目有交互,导致其他项目遭受攻击,下面是已知项目遭受攻击的分析。
Wombat项目:
由于Ankr Staking: aBNBc Token项目遭受私钥泄露攻击,导致增发了大量的aBNBc代币,从而影响了pair(0x272c...880)中的WBNB和aBNBc的价格,而Wombat项目池子中的WBNB和aBNBc兑换率约为1:1,导致套利者可以通过在pair(0x272c...880)中低价购买aBNBc,然后到Wombat项目的WBNB/aBNBc池子中换出WBNB,实现套利。目前套利地址(0x20a0...876f)共获利约200万美元,Beosin Trace将持续对被盗资金进行监控。
Helio_Money项目:
套利地址:
0x8d11f5b4d351396ce41813dce5a32962aa48e217
由于Ankr Staking: aBNBc Token项目遭受私钥泄露攻击,导致增发了大量的aBNBc代币,aBNBc和WBNB的交易对中,WBNB被掏空,WBNB价格升高。套利者首先使用10WBNB交换出超发后的大量aBNBc.之后将aBNBc交换为hBNB。以hBNB为抵押品在Helio_Money中进行借贷,借贷出约1644万HAY。之后将HAY交换为约1550万BUSD,价值接近1亿人民币。
针对本次事件,Beosin安全团队建议:1. 项目的管理员权限最好交由多签钱包进行管理。2. 项目方操作时,务必妥善保管私钥。3. 项目上线前,建议选择专业的安全审计公司进行全面的安全审计,规避安全风险。
Beosin
企业专栏
阅读更多
金色早8点
金色财经
去中心化金融社区
CertiK中文社区
虎嗅科技
区块律动BlockBeats
念青
深潮TechFlow
Odaily星球日报
腾讯研究院
BTC/SOL/FTT 跌幅对比最近一个月,整个加密世界都笼罩在 FTX/Alameda 暴雷事件的阴云之下,首先是各个公链生态下的 DeFi、NFT 等板块无一幸免.
1900/1/1 0:00:00纵观整个 2022 年,加密投融资领域完成了从狂热到寒冬的 180 度大转弯。2022 年 Q1,Crypto 投融资市场以超 100 亿美元的融资总额,问鼎了自比特币诞生以来的单季投融资记录,
1900/1/1 0:00:001.金色观察 | Vitalik眼中2022年以太坊的五项主要成就Bankless近日采访了以太坊创始人Vitalik.
1900/1/1 0:00:00原文标题:《三分钟读懂 Rage Trade:可组合的全链以太坊永续合约协议》原文来源:aididiaojp.eth.
1900/1/1 0:00:00▌SBF:我从未试图对任何人进行欺诈金色财经报道,FTX前首席执行官SBF表示,“我从来没有试图对任何人进行欺诈,我认为这是一项欣欣向荣的生意,对最近发生的事情感到震惊.
1900/1/1 0:00:00原文:《2022年Web3基金行业调查》作者:CFR调查概览2022年加密基金调查是Cryto Fund Research对加密基金经理的第三次年度调查,在第三季度对60多名受访者进行了调查.
1900/1/1 0:00:00