2022年12月2日,据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示,AnkStaking的aBNBcToken项目遭受私钥泄露攻击,攻击者通过Deployer地址将合约实现修改为有漏洞的合约,攻击者通过没有权限校验的0x3b3a5522函数铸造了大量aBNBc代币后卖出,攻击者共获利5500个BNB和534万枚USDC,约700万美元,BeosinTrace将持续对被盗资金进行监控。Beosin安全团队现将事件分析结果与大家分享如下。
#Ankr是什么?
据了解,Ankr是一个去中心化的Web3基础设施提供商,可帮助开发人员、去中心化应用程序和利益相关者轻松地与一系列区块链进行交互。
Harmony将为黑客马拉松提供100万美元的奖金:金色财经报道,权益证明区块链Harmony宣布了一项名为“将TradFi连接到DeFi”的黑客马拉松,重点是将传统金融与去中心化金融相结合。参加黑客马拉松的项目必须根据以下三个类别构建:具有无需信任桥梁的跨链、具有无密钥安全性的社交钱包以及金融科技集成。Harmony将为此提供100万美元的奖金。[2021/7/17 0:58:33]
攻击发生之后,Ankr针对aBNBc合约遭到攻击一事称,「目前正在与交易所合作以立即停止交易。AnkrStaking上的所有底层资产都是安全的,所有基础设施服务不受影响。」
#本次攻击事件相关信息
动态 | PeckShield预警:黑客利用EOS系统帐号onerror特性恶意挖矿:今日下午,PeckShield安全盾风控平台DAppShield监测到黑客向系统合约发起连续攻击,劫持延迟交易执行失败时系统合约调用的onerror动作,进行恶意挖矿EIDOS,目前攻击仍在持续进行中。PeckShield安全人员分析发现,有黑客利用延迟交易执行失败时,系统合约 eosio 会调用用户合约的 onerror 接口的特性,在合约的 onerror 接口中嵌入恶意挖矿操作。与之前利用系统合约的短帐号竞拍功能挖矿相比,该攻击同样利用系统帐号拥有无限制的CPU资源的同时,成本更低。因此,该攻击的蔓延会进一步加剧EOS网络的拥堵状况。[2019/11/12]
攻击交易
0xe367d05e7ff37eb6d0b7d763495f218740c979348d7a3b6d8e72d3b947c86e33
动态 | 特拉华州查获黑客价值约21.7万美元的比特币:据bitcoinist消息,美国特拉华州联邦检察官办公室周三公布的一份文件显示,在黑客Grant West被捕后,特拉华州的联邦当局查获了其价值约21.7万美元的比特币。据悉,Grant West曾利用位于特拉华州威尔明顿的加密货币交易所Poloneix来储存比特币。此前消息,Grant West曾在全球范围内进行网络攻击,利用钓鱼邮件多家公司财务数据,将数据出售后的利润换为BTC。5月25日该黑客因网络攻击被判处10年零8个月监禁,从其手中获得价值66.7万美元的BTC。[2018/10/25]
攻击者地址
0xf3a465C9fA6663fF50794C698F600Faa4b05c777(AnkrExploiter)
被攻击合约
0xE85aFCcDaFBE7F2B096f268e31ccE3da8dA2990A
印度女子钱包被黑客攻击,损失6.5个比特币:据报道,印度正在调查一起比特币被盗事件。印度某女子的钱包遭到黑客攻击,被盗6.5个比特币(约5.4万美元)。掌管印度高级犯罪的官员表示,与比特币相关的欺诈案件变得越来越多,比特币不仅受到投资者的欢迎,者也对准了还不成熟的区块链市场进行。[2018/3/20]
#攻击流程
1.在aBNBc的最新一次升级后,项目方的私钥遭受泄露。攻击者使用项目方地址将合约实现修改为有漏洞的版本。
2.由攻击者更换的新合约实现中,0x3b3a5522函数的调用没有权限限制,任何人都可以调用此函数铸造代币给指定地址。
3.攻击者给自己铸造大量aBNBc代币,前往指定交易对中将其兑换为BNB和USDC。
4.攻击者共获利5500WBNB和534万USDC。
#受影响的其他项目:
由于Ankr的aBNBc代币和其他项目有交互,导致其他项目遭受攻击,下面是已知项目遭受攻击的分析。
Wombat项目:
由于AnkrStaking:aBNBcToken项目遭受私钥泄露攻击,导致增发了大量的aBNBc代币,从而影响了pair中的WBNB和aBNBc的价格,而Wombat项目池子中的WBNB和aBNBc兑换率约为1:1,导致套利者可以通过在pair中低价购买aBNBc,然后到Wombat项目的WBNB/aBNBc池子中换出WBNB,实现套利。目前套利地址共获利约200万美元,BeosinTrace将持续对被盗资金进行监控。
Helio_Money项目:
套利地址:
0x8d11f5b4d351396ce41813dce5a32962aa48e217
由于AnkrStaking:aBNBcToken项目遭受私钥泄露攻击,导致增发了大量的aBNBc代币,aBNBc和WBNB的交易对中,WBNB被掏空,WBNB价格升高。套利者首先使用10WBNB交换出超发后的大量aBNBc.之后将aBNBc交换为hBNB。以hBNB为抵押品在Helio_Money中进行借贷,借贷出约1644万HAY。之后将HAY交换为约1550万BUSD,价值接近1亿人民币。
#事件总结
针对本次事件,Beosin安全团队建议:1.项目的管理员权限最好交由多签钱包进行管理。2.项目方操作时,务必妥善保管私钥。3.项目上线前,建议选择专业的安全审计公司进行全面的安全审计,规避安全风险。
“本产品乃主动型交易所买卖基金。子基金的投资目标是通过主要投资于芝商所的比特币期货,实现长期资本增长……”近日,南方东英资产管理有限公司推出虚拟资产ETF(交易所交易基金),包括南方东英比特币期.
UniswapLabs在11月30日发推宣布,其NFT交易聚合服务正式在Uniswap上线。此外还向Genie的历史用户空投约500万美元的USDC,并向前22,000名买家提供Gas回扣.
作者:火火 11月23日,ConsenSys更新关于收集用户IP的声明。声明说当用户在MetaMask中使用Infura作为默认RPC时,将在用户发送交易时收集对应的IP地址和ETH地址.
作者:TonyLee、Coinlist编译:PANews、王尔玉 近年来,权益证明区块链愈发流行.
作者:AngusBerwick、DanLevine、TomWilson路透社披露,美国司法部于2018年开始调查币安,但部门内部的分歧推迟了调查结论.
原文作者|mimiLFGNFT?被描述为下一代艺术市场和采用加密货币的最强大催化剂之一,该行业在2021年9月至2022年1月实现了巨大增长.
区块见闻