2022年12月2日,据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示,AnkStaking的aBNBcToken项目遭受私钥泄露攻击,攻击者通过Deployer地址将合约实现修改为有漏洞的合约,攻击者通过没有权限校验的0x3b3a5522函数铸造了大量aBNBc代币后卖出,攻击者共获利5500个BNB和534万枚USDC,约700万美元,BeosinTrace将持续对被盗资金进行监控。Beosin安全团队现将事件分析结果与大家分享如下。
#Ankr是什么?
据了解,Ankr是一个去中心化的Web3基础设施提供商,可帮助开发人员、去中心化应用程序和利益相关者轻松地与一系列区块链进行交互。
观点:推特黑客除了钱以外还有其他目标:CoinDesk今日刊文称,尽管推特黑客通过接管了包括奥巴马在内的许多知名帐户而吸引了全世界的目光,但与攻击相关的加密钱包交易数据显示,黑客并没有像强盗一样作案,其只得了约12万美元的加密货币。因此,考虑到黑客可以访问世界上一些最有影响力的商人的推特帐户,黑客此次诱导比特币转账缺乏复杂性可能表明,犯罪者除了钱以外还有其他目标。[2020/7/17]
攻击发生之后,Ankr针对aBNBc合约遭到攻击一事称,「目前正在与交易所合作以立即停止交易。AnkrStaking上的所有底层资产都是安全的,所有基础设施服务不受影响。」
#本次攻击事件相关信息
动态 | 加密货币公司Crown Sterling起诉黑帽黑客大会组织者:在黑帽黑客大会上受到质问的一家加密货币公司正在起诉活动组织者,称其未能保护自己免受观众的讥讽。一些与会者称之为“万灵油网络营销”,8月22日,Crown Sterling向纽约南区美国地区法院提起诉讼。Crown Sterling遭遇与会者的强烈敌意和怀疑,并且在推特遭受批评。 在起诉书中,Crown Sterling指控黑帽的组织者违反了“与Crown Sterling的赞助协议以及由此产生的诚信和公平交易的默示契约”。(Cointelegraph)[2019/8/26]
攻击交易
0xe367d05e7ff37eb6d0b7d763495f218740c979348d7a3b6d8e72d3b947c86e33
攻击者地址
0xf3a465C9fA6663fF50794C698F600Faa4b05c777(AnkrExploiter)
被攻击合约
动态 | EOS DApps在过去五个月因黑客攻击损失了近100万美元:根据区块链安全公司PeckShield的报告,EOS上的DApps从7月到11月底已经发生了27起盗窃事件,损失了40万枚EOS,即100万美元。专家认为,对EOS DApps的大多数攻击与其漏洞相关,而不是与EOS本身的漏洞相关。[2018/12/12]
0xE85aFCcDaFBE7F2B096f268e31ccE3da8dA2990A
#攻击流程
1.在aBNBc的最新一次升级后,项目方的私钥遭受泄露。攻击者使用项目方地址将合约实现修改为有漏洞的版本。
动态 | McAfee否认Bitfi钱包遭黑客攻击:据Bitcoin.com消息,John McAfee发推特回应此前关于Bitfi钱包遭黑客攻破的消息,他表示,Bitfi钱包上自动播放的视频只是所谓的”黑客“的恶作剧,不会威胁到钱包的安全。[2018/8/16]
2.由攻击者更换的新合约实现中,0x3b3a5522函数的调用没有权限限制,任何人都可以调用此函数铸造代币给指定地址。
动态 | 黑客为挖矿攻击路由器 降维提示用户注意互联网安全:从今年4月份至今,黑客利用了约210,000台MikroTik路由器上存在的安全漏洞,通过此漏洞将挖矿木马Coinhive的Javascript注入用户浏览器访问的每个网页,最终迫使每台连接的电脑在不知情的情况下为黑客挖掘门罗币。
降维安全提示:黑客利用用户私人财产挖矿已成常态化。用户除了及时对自己的电脑、手机安装最新系统更新外,路由器安全也应放在日常关注之列。及时的安装安全补丁可以有效降低用户的路由器被攻破的风险,避免成为黑客非法挖矿的帮凶。[2018/8/4]
3.攻击者给自己铸造大量aBNBc代币,前往指定交易对中将其兑换为BNB和USDC。
4.攻击者共获利5500WBNB和534万USDC。
#受影响的其他项目:
由于Ankr的aBNBc代币和其他项目有交互,导致其他项目遭受攻击,下面是已知项目遭受攻击的分析。
Wombat项目:
由于AnkrStaking:aBNBcToken项目遭受私钥泄露攻击,导致增发了大量的aBNBc代币,从而影响了pair中的WBNB和aBNBc的价格,而Wombat项目池子中的WBNB和aBNBc兑换率约为1:1,导致套利者可以通过在pair中低价购买aBNBc,然后到Wombat项目的WBNB/aBNBc池子中换出WBNB,实现套利。目前套利地址共获利约200万美元,BeosinTrace将持续对被盗资金进行监控。
Helio_Money项目:
套利地址:
0x8d11f5b4d351396ce41813dce5a32962aa48e217
由于AnkrStaking:aBNBcToken项目遭受私钥泄露攻击,导致增发了大量的aBNBc代币,aBNBc和WBNB的交易对中,WBNB被掏空,WBNB价格升高。套利者首先使用10WBNB交换出超发后的大量aBNBc.之后将aBNBc交换为hBNB。以hBNB为抵押品在Helio_Money中进行借贷,借贷出约1644万HAY。之后将HAY交换为约1550万BUSD,价值接近1亿人民币。
#事件总结
针对本次事件,Beosin安全团队建议:1.项目的管理员权限最好交由多签钱包进行管理。2.项目方操作时,务必妥善保管私钥。3.项目上线前,建议选择专业的安全审计公司进行全面的安全审计,规避安全风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。