BNB:黑客如何在三分钟利用3000美元套取1亿人民币？Ankr相关安全事件分析

2022年12月2日，据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示，AnkStaking的aBNBcToken项目遭受私钥泄露攻击，攻击者通过Deployer地址将合约实现修改为有漏洞的合约，攻击者通过没有权限校验的0x3b3a5522函数铸造了大量aBNBc代币后卖出，攻击者共获利5500个BNB和534万枚USDC，约700万美元，BeosinTrace将持续对被盗资金进行监控。Beosin安全团队现将事件分析结果与大家分享如下。

#Ankr是什么？

据了解，Ankr是一个去中心化的Web3基础设施提供商，可帮助开发人员、去中心化应用程序和利益相关者轻松地与一系列区块链进行交互。

Gitcoin将于8月8日至8月23日举办线上黑客松Money Legos Hackathon:7月28日消息，Gitcoin宣布将于8月8日至8月23日举办线上黑客松Money Legos Hackathon，旨在帮助构建去中心化的未来，让Web3公司重新构想保险和贷款等领域让资金发挥作用，同时加速开发者生态系统的发展等。[2022/7/28 2:43:33]

攻击发生之后，Ankr针对aBNBc合约遭到攻击一事称，「目前正在与交易所合作以立即停止交易。AnkrStaking上的所有底层资产都是安全的，所有基础设施服务不受影响。」

#本次攻击事件相关信息

攻击交易

StarkWare公布黑客松三个获胜方：briq、StarkDIT和Randomfeedoooor:金色财经消息，StarkWare公布黑客松参与情况和竞赛结果，共有170个参与者提交了35份申请，6个项目进入决赛，三个获胜方为NFT制作和可组合项目briq、使用IPFS为StarkNet应用安全存储数据的StarkDIT、链上游戏随机性标准解决方案Randomfeedoooor。

briq是一个由briq基本元素组成的NFT制作和可组合系统，允许用户用多个briq拼接更复杂的结构（NFT形式），也可以将这个Set转给他人。拼接过程中可以进行移动、更换颜色、堆积等活动。briq在黑客松中针对链上游戏需要频繁前面带来的解决方案是每次session在浏览器中生成本地密钥，他们分叉了Argent钱包，并添加了使用session密钥（带有计时器）生成这些密钥的功能。[2022/4/27 5:13:43]

0xe367d05e7ff37eb6d0b7d763495f218740c979348d7a3b6d8e72d3b947c86e33

三个黑客事件中项目方称只要归还90%被盗资金就不追究责任:10月21日消息，在2017年Parity Multisig Wallet黑客事件中受害的三个以太坊项目Swarm City、Aeternity和Edgeless Project联合发文要求黑客归还被盗的ETH，如黑客归还13.5万ETH（被盗金额的90%）就不追究黑客的责任。四年来，三个项目一直在监控黑客地址的每一笔交易，大部分的ETH仍在黑客的钱包中，还有部分ETH被转到了如币安、FTX等交易所，项目方列出了与黑客有关的地址，并要求交易所冻结从这些账户中转到交易所的资金。[2021/10/21 20:46:11]

攻击者地址

0xf3a465C9fA6663fF50794C698F600Faa4b05c777(AnkrExploiter)

被攻击合约

0xE85aFCcDaFBE7F2B096f268e31ccE3da8dA2990A

#攻击流程

1.在aBNBc的最新一次升级后，项目方的私钥遭受泄露。攻击者使用项目方地址将合约实现修改为有漏洞的版本。

动态 | 美巴尔的摩市政府官员申请的Gmail账户被黑客停用:据CCN报道，因为拒绝向黑客支付价值10万美元的比特币赎金，美国马里兰州巴尔的摩大部分政府系统自5月7日起被锁定，官方电子邮件地址已无法使用。随后该市政府官员创建了免费的Gmail账户来维持日常工作，但是5月23日该邮箱也被停用。据此前消息，巴尔的摩市政府遭到“Robbinhood”勒索软件攻击，新任市长坚称该市不会支付攻击者要求的大约13枚比特币。[2019/5/24]

动态丨Bithumb被盗或因驻外员工电脑被黑客攻击:韩国大型虚拟货币交易所Bithumb在调查被黑客攻击的原因时发现，其驻外员工的电脑被黑客攻击。该员工将被黑客攻击的电脑连接到Bithumb内部的DRM（数字版权管理）服务器。导致黑客将恶性代码植入到驻外员工电脑后直接攻击DRM服务器。[2018/6/27]

2.由攻击者更换的新合约实现中，0x3b3a5522函数的调用没有权限限制，任何人都可以调用此函数铸造代币给指定地址。

3.攻击者给自己铸造大量aBNBc代币，前往指定交易对中将其兑换为BNB和USDC。

4.攻击者共获利5500WBNB和534万USDC。

#受影响的其他项目：

由于Ankr的aBNBc代币和其他项目有交互，导致其他项目遭受攻击，下面是已知项目遭受攻击的分析。

Wombat项目：

由于AnkrStaking:aBNBcToken项目遭受私钥泄露攻击，导致增发了大量的aBNBc代币，从而影响了pair中的WBNB和aBNBc的价格，而Wombat项目池子中的WBNB和aBNBc兑换率约为1:1，导致套利者可以通过在pair中低价购买aBNBc,然后到Wombat项目的WBNB/aBNBc池子中换出WBNB，实现套利。目前套利地址共获利约200万美元，BeosinTrace将持续对被盗资金进行监控。

Helio_Money项目：

套利地址：

0x8d11f5b4d351396ce41813dce5a32962aa48e217

由于AnkrStaking:aBNBcToken项目遭受私钥泄露攻击，导致增发了大量的aBNBc代币，aBNBc和WBNB的交易对中，WBNB被掏空，WBNB价格升高。套利者首先使用10WBNB交换出超发后的大量aBNBc.之后将aBNBc交换为hBNB。以hBNB为抵押品在Helio_Money中进行借贷，借贷出约1644万HAY。之后将HAY交换为约1550万BUSD，价值接近1亿人民币。

#事件总结

针对本次事件，Beosin安全团队建议：1.项目的管理员权限最好交由多签钱包进行管理。2.项目方操作时，务必妥善保管私钥。3.项目上线前，建议选择专业的安全审计公司进行全面的安全审计，规避安全风险。

标签：BNBNBCWBNBSTAtogetherbnb可以推到的有谁BNBCH币wbnb是局吗VESTA

Luna热门资讯