木星链 木星链
Ctrl+D收藏木星链
首页 > Luna > 正文

BNB:黑客如何在三分钟利用3000美元套取1亿人民币?Ankr相关安全事件分析

作者:

时间:1900/1/1 0:00:00

2022年12月2日,据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示,AnkStaking的aBNBcToken项目遭受私钥泄露攻击,攻击者通过Deployer地址将合约实现修改为有漏洞的合约,攻击者通过没有权限校验的0x3b3a5522函数铸造了大量aBNBc代币后卖出,攻击者共获利5500个BNB和534万枚USDC,约700万美元,BeosinTrace将持续对被盗资金进行监控。Beosin安全团队现将事件分析结果与大家分享如下。

#Ankr是什么?

据了解,Ankr是一个去中心化的Web3基础设施提供商,可帮助开发人员、去中心化应用程序和利益相关者轻松地与一系列区块链进行交互。

Gitcoin将于8月8日至8月23日举办线上黑客松Money Legos Hackathon:7月28日消息,Gitcoin宣布将于8月8日至8月23日举办线上黑客松Money Legos Hackathon,旨在帮助构建去中心化的未来,让Web3公司重新构想保险和贷款等领域让资金发挥作用,同时加速开发者生态系统的发展等。[2022/7/28 2:43:33]

攻击发生之后,Ankr针对aBNBc合约遭到攻击一事称,「目前正在与交易所合作以立即停止交易。AnkrStaking上的所有底层资产都是安全的,所有基础设施服务不受影响。」

#本次攻击事件相关信息

攻击交易

StarkWare公布黑客松三个获胜方:briq、StarkDIT和Randomfeedoooor:金色财经消息,StarkWare公布黑客松参与情况和竞赛结果,共有170个参与者提交了35份申请,6个项目进入决赛,三个获胜方为NFT制作和可组合项目briq、使用IPFS为StarkNet应用安全存储数据的StarkDIT、链上游戏随机性标准解决方案Randomfeedoooor。

briq是一个由briq基本元素组成的NFT制作和可组合系统,允许用户用多个briq拼接更复杂的结构(NFT形式),也可以将这个Set转给他人。拼接过程中可以进行移动、更换颜色、堆积等活动。briq在黑客松中针对链上游戏需要频繁前面带来的解决方案是每次session在浏览器中生成本地密钥,他们分叉了Argent钱包,并添加了使用session密钥(带有计时器)生成这些密钥的功能。[2022/4/27 5:13:43]

0xe367d05e7ff37eb6d0b7d763495f218740c979348d7a3b6d8e72d3b947c86e33

三个黑客事件中项目方称只要归还90%被盗资金就不追究责任:10月21日消息,在2017年Parity Multisig Wallet黑客事件中受害的三个以太坊项目Swarm City、Aeternity和Edgeless Project联合发文要求黑客归还被盗的ETH,如黑客归还13.5万ETH(被盗金额的90%)就不追究黑客的责任。四年来,三个项目一直在监控黑客地址的每一笔交易,大部分的ETH仍在黑客的钱包中,还有部分ETH被转到了如币安、FTX等交易所,项目方列出了与黑客有关的地址,并要求交易所冻结从这些账户中转到交易所的资金。[2021/10/21 20:46:11]

攻击者地址

0xf3a465C9fA6663fF50794C698F600Faa4b05c777(AnkrExploiter)

被攻击合约

0xE85aFCcDaFBE7F2B096f268e31ccE3da8dA2990A

#攻击流程

1.在aBNBc的最新一次升级后,项目方的私钥遭受泄露。攻击者使用项目方地址将合约实现修改为有漏洞的版本。

动态 | 美巴尔的摩市政府官员申请的Gmail账户被黑客停用:据CCN报道,因为拒绝向黑客支付价值10万美元的比特币赎金,美国马里兰州巴尔的摩大部分政府系统自5月7日起被锁定,官方电子邮件地址已无法使用。随后该市政府官员创建了免费的Gmail账户来维持日常工作,但是5月23日该邮箱也被停用。据此前消息,巴尔的摩市政府遭到“Robbinhood”勒索软件攻击,新任市长坚称该市不会支付攻击者要求的大约13枚比特币。[2019/5/24]

动态丨Bithumb被盗或因驻外员工电脑被黑客攻击:韩国大型虚拟货币交易所Bithumb在调查被黑客攻击的原因时发现,其驻外员工的电脑被黑客攻击。该员工将被黑客攻击的电脑连接到Bithumb内部的DRM(数字版权管理)服务器。导致黑客将恶性代码植入到驻外员工电脑后直接攻击DRM服务器。[2018/6/27]

2.由攻击者更换的新合约实现中,0x3b3a5522函数的调用没有权限限制,任何人都可以调用此函数铸造代币给指定地址。

3.攻击者给自己铸造大量aBNBc代币,前往指定交易对中将其兑换为BNB和USDC。

4.攻击者共获利5500WBNB和534万USDC。

#受影响的其他项目:

由于Ankr的aBNBc代币和其他项目有交互,导致其他项目遭受攻击,下面是已知项目遭受攻击的分析。

Wombat项目:

由于AnkrStaking:aBNBcToken项目遭受私钥泄露攻击,导致增发了大量的aBNBc代币,从而影响了pair中的WBNB和aBNBc的价格,而Wombat项目池子中的WBNB和aBNBc兑换率约为1:1,导致套利者可以通过在pair中低价购买aBNBc,然后到Wombat项目的WBNB/aBNBc池子中换出WBNB,实现套利。目前套利地址共获利约200万美元,BeosinTrace将持续对被盗资金进行监控。

Helio_Money项目:

套利地址:

0x8d11f5b4d351396ce41813dce5a32962aa48e217

由于AnkrStaking:aBNBcToken项目遭受私钥泄露攻击,导致增发了大量的aBNBc代币,aBNBc和WBNB的交易对中,WBNB被掏空,WBNB价格升高。套利者首先使用10WBNB交换出超发后的大量aBNBc.之后将aBNBc交换为hBNB。以hBNB为抵押品在Helio_Money中进行借贷,借贷出约1644万HAY。之后将HAY交换为约1550万BUSD,价值接近1亿人民币。

#事件总结

针对本次事件,Beosin安全团队建议:1.项目的管理员权限最好交由多签钱包进行管理。2.项目方操作时,务必妥善保管私钥。3.项目上线前,建议选择专业的安全审计公司进行全面的安全审计,规避安全风险。

标签:BNBNBCWBNBSTAtogetherbnb可以推到的有谁BNBCH币wbnb是局吗VESTA

Luna热门资讯
SOL:Solana要亡?伤势严重的它能恢复吗?

文:BenGiove来源:BanklessFTX和AlamedaResearch的崩溃在整个加密领域造成了严重破坏,贷款机构、交易所和基金破产,市场也受到此次内爆的打击.

1900/1/1 0:00:00
WEB:挖掘元宇宙与Web3的深层联系 究竟谁能勾勒出下一代互联网模样?

近两年疫情肆虐全球,虽然困住了人们的脚步,但是困不住科技的发展趋势,元宇宙、Web3等概念相继出现在人们的视野里.

1900/1/1 0:00:00
FTT:金色观察丨FTX/Alameda是怎么损失80亿美元?Genesis又如何牵涉其中?

文/MartinLee,Nansen;文/金色财经xiazozu我仔细研究了nansen的FTX报告.

1900/1/1 0:00:00
元宇宙:金色Web3.0日报 | OpenSea已支持基于BNB Chain的NFT

DeFi数据1、DeFi代币总市值:384.83亿美元 DeFi总市值及前十代币数据来源:coingecko2、过去24小时去中心化交易所的交易量22.

1900/1/1 0:00:00
BTC:灰度(GBTC)效应:机构泡沫与崩溃的始作俑者

原文标题:《TheGrayscale(GBTC)Effect》原文作者:BenLilly原文编译:深潮TechFlow我们重新整理了一下两年前的故事,始于2020年,我们称之为「灰度效应」.

1900/1/1 0:00:00
SOL:Solana的惊魂30天 重新审视这条「VC链」的过去、现在与未来

撰文:0xLaughing,律动BlockBeats BTC/SOL/FTT跌幅对比最近一个月,整个加密世界都笼罩在FTX/Alameda暴雷事件的阴云之下.

1900/1/1 0:00:00