以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

WBNB:黑客如何在三分鐘利用3000美元套取1億人民幣?Ankr相關安全事件分析

Author:

Time:1900/1/1 0:00:00

2022年12月2日,據區塊鏈安全審計公司Beosin旗下BeosinEagleEye安全風險監控、預警與阻斷平臺監測顯示,AnkStaking的aBNBcToken項目遭受私鑰泄露攻擊,攻擊者通過Deployer地址將合約實現修改為有漏洞的合約,攻擊者通過沒有權限校驗的0x3b3a5522函數鑄造了大量aBNBc代幣后賣出,攻擊者共獲利5500個BNB和534萬枚USDC,約700萬美元,BeosinTrace將持續對被盜資金進行監控。Beosin安全團隊現將事件分析結果與大家分享如下。

#Ankr是什么?

據了解,Ankr是一個去中心化的Web3基礎設施提供商,可幫助開發人員、去中心化應用程序和利益相關者輕松地與一系列區塊鏈進行交互。

報告:日本因朝鮮加密黑客攻擊而遭受的損失占全球的30%:金色財經報道,根據區塊鏈分析公司Elliptic的一項研究,日本因朝鮮加密貨幣黑客攻擊而造成的損失居世界首位,占總數的30%。根據 2022 年估計損失的 6.4 億美元加密貨幣,日本在這些攻擊中遭受了 7.21 億美元的損失,占全球總損失 23 億美元的 30%。

根據該報告,越南是第二大受攻擊的國家,在此期間損失了 5.4 億美元。美國以 4.97 億美元的損失位居第三,香港以 2.81 億美元的損失位居第四。[2023/5/16 15:04:39]

攻擊發生之后,Ankr針對aBNBc合約遭到攻擊一事稱,「目前正在與交易所合作以立即停止交易。AnkrStaking上的所有底層資產都是安全的,所有基礎設施服務不受影響。」

AVAX公布黑客松項目和評委名單,BitWell位列其中并將參與項目投資和孵化:4月9日消息,Avalanche(AVAX)公布了本屆參加亞洲黑客松大賽的項目,以及評審委員小組名單,BitWell Labs負責人Catherine作為評審委員之一位列名單中。

本次AVAX黑客松評審委員包括多家頂級風投、交易平臺、媒體合作伙伴以及知名學術機構。同時,作為本次Avalanche(AVAX)黑客松的贊助商和評委方之一,BitWell還將參與到項目的早期投資和孵化當中。(theblockbeats)[2022/4/9 14:14:58]

#本次攻擊事件相關信息

攻擊交易

0xe367d05e7ff37eb6d0b7d763495f218740c979348d7a3b6d8e72d3b947c86e33

動態 | 黑客正對EOS全網實施“撒網式”攻擊測試 有合約中招:從昨天10:09開始,PeckShield安全盾風控平臺DAppShield監測到有黑客正在使用已知的攻擊手段如假EOS轉賬等,測試攻擊EOS主網上超過290個合約,且已經有合約中招。DAppShield平臺依托自建的攻擊特征監測庫,對黑客鏈上數據追蹤發現:此前有黑客曾一度測試實施全網攻擊,但由于不同游戲玩法不同鮮有成功,而此次黑客通過對不同游戲精心構造參數,導致部分合約中招。PeckShield安全人員提醒,已知攻擊特征往往會被黑客用來“撒網式”攻擊測試,開發者應在合約上線前做好安全測試,特別是要排除已知攻擊手段的威脅,必要時可尋求第三方安全公司協助,幫助其完成合約上線前攻擊測試及基礎安全防御部署。[2019/1/9]

攻擊者地址

0xf3a465C9fA6663fF50794C698F600Faa4b05c777(AnkrExploiter)

動態 | KICKICO7月26日遭黑客攻擊,損失770萬美元:據Financemagnates消息,區塊鏈眾籌平臺KICKICO 7月26日遭到黑客攻擊,損失770萬美元。平臺發布公告稱目前已經重新獲得對智能合約的控制權,并將被盜的代幣返還到用戶的錢包賬戶。[2018/7/27]

被攻擊合約

0xE85aFCcDaFBE7F2B096f268e31ccE3da8dA2990A

#攻擊流程

1.在aBNBc的最新一次升級后,項目方的私鑰遭受泄露。攻擊者使用項目方地址將合約實現修改為有漏洞的版本。

2.由攻擊者更換的新合約實現中,0x3b3a5522函數的調用沒有權限限制,任何人都可以調用此函數鑄造代幣給指定地址。

3.攻擊者給自己鑄造大量aBNBc代幣,前往指定交易對中將其兌換為BNB和USDC。

4.攻擊者共獲利5500WBNB和534萬USDC。

#受影響的其他項目:

由于Ankr的aBNBc代幣和其他項目有交互,導致其他項目遭受攻擊,下面是已知項目遭受攻擊的分析。

Wombat項目:

由于AnkrStaking:aBNBcToken項目遭受私鑰泄露攻擊,導致增發了大量的aBNBc代幣,從而影響了pair中的WBNB和aBNBc的價格,而Wombat項目池子中的WBNB和aBNBc兌換率約為1:1,導致套利者可以通過在pair中低價購買aBNBc,然后到Wombat項目的WBNB/aBNBc池子中換出WBNB,實現套利。目前套利地址共獲利約200萬美元,BeosinTrace將持續對被盜資金進行監控。

Helio_Money項目:

套利地址:

0x8d11f5b4d351396ce41813dce5a32962aa48e217

由于AnkrStaking:aBNBcToken項目遭受私鑰泄露攻擊,導致增發了大量的aBNBc代幣,aBNBc和WBNB的交易對中,WBNB被掏空,WBNB價格升高。套利者首先使用10WBNB交換出超發后的大量aBNBc.之后將aBNBc交換為hBNB。以hBNB為抵押品在Helio_Money中進行借貸,借貸出約1644萬HAY。之后將HAY交換為約1550萬BUSD,價值接近1億人民幣。

#事件總結

針對本次事件,Beosin安全團隊建議:1.項目的管理員權限最好交由多簽錢包進行管理。2.項目方操作時,務必妥善保管私鑰。3.項目上線前,建議選擇專業的安全審計公司進行全面的安全審計,規避安全風險。

Tags:BNBNBCANKWBNBBNB中文名叫什么nbc幣是什么lbank是哪個國家的交易所WBNB價格

火幣網下載官方app
元宇宙:LG「冒進」元宇宙?

撰文:MetaPost 曾經意氣風發的LG近年來似乎「隱身」了,這家知名國際企業在中國市場基本銷聲匿跡,從過去的市場主導者淪為配角和替補。日前,一則元宇宙領域的新聞,似乎讓LG找回了昔日的自信.

1900/1/1 0:00:00
DEF:DEX發展趨勢盤點:CeFi信任危機會開啟真正的DeFi 2.0嗎?

CeFi信任危機 FTX作為行業僅次于幣安的第二大加密生態,在短時間內遭遇擠兌,突然暴雷,震驚了整個加密貨幣世界。我們應該重新審視CEX的風險.

1900/1/1 0:00:00
區塊鏈:隱私計算公鏈的可信化未來

ByKyle,InvestmentManager@BingVentures用戶享受到了大數據提供的個性化服務,為生活帶來了極大的便利.

1900/1/1 0:00:00
ALA:FTX崩潰后我們正處于加密行業的轉折點

作者:VenturePunk 來源:substack 和許多加密推特用戶一樣,我上周花了太多時間觀看FTX新聞。我一直在關注揭露的信息,對有關公司文化的披露翻白眼.

1900/1/1 0:00:00
WEB3:Web3社區與文化:什么是第一位的?

社區文化是共同目標和集體能動性之間的連接樞紐。 社區與文化 沒有強大而積極的文化,就不可能擁有繁榮的社區.

1900/1/1 0:00:00
NFT:金色Web3日報 | Uniswap Labs發布新的隱私政策

DeFi數據 1、DeFi代幣總市值:357.5億美元 DeFi總市值及前十代幣數據來源:coingecko2、過去24小時去中心化交易所的交易量34.

1900/1/1 0:00:00
ads