2022年12月2日,据区块链安全审计公司Beosin旗下Beosin EagleEye安全危险监控、预警与阻断平台监测显示,AnkStaking的aBNBc Token项目遭受私钥走漏进犯,进犯者经过Deployer地址将合约完成修改为有缝隙的合约,进犯者经过没有权限校验的0x3b3a5522函数铸造了很多aBNBc代币后卖出,进犯者共获利5500个BNB和534万枚USDC,约700万美元,Beosin Trace将持续对被盗资金进行监控。Beosin安全团队现将事情剖析结果与我们分享如下。
#Ankr是什么?
据了解,Ankr 是一个去中心化的 Web3 基础设施提供商,可协助开发人员、去中心化应用程序和利益相关者轻松地与一系列区块链进行交互。
进犯发生之后,Ankr 针对 aBNBc 合约遭到进犯一事称,「目前正在与买卖所合作以当即中止买卖。Ankr Staking 上的一切底层资产都是安全的,一切基础设施服务不受影响。」
#本次进犯事情相关信息
进犯买卖
0xe367d05e7ff37eb6d0b7d763495f218740c979348d7a3b6d8e72d3b947c86e33
进犯者地址
0xf3a465C9fA6663fF50794C698F600Faa4b05c777 (Ankr Exploiter)
被进犯合约
0xE85aFCcDaFBE7F2B096f268e31ccE3da8dA2990A
#进犯流程
1. 在aBNBc的最新一次晋级后,项目方的私钥遭受走漏。进犯者运用项目方地址(Ankr: Deployer)将合约完成修改为有缝隙的版别。
2.由进犯者替换的新合约完成中, 0x3b3a5522函数的调用没有权限限制,任何人都可以调用此函数铸造代币给指定地址。
3.进犯者给自己铸造很多aBNBc代币,前往指定买卖对中将其兑换为BNB和USDC。
4. 进犯者共获利5500WBNB和534万USDC(约700万美元)。
#受影响的其他项目:
因为Ankr的aBNBc代币和其他项目有交互,导致其他项目遭受进犯,下面是已知项目遭受进犯的剖析。
Wombat项目:
因为Ankr Staking: aBNBc Token项目遭受私钥走漏进犯,导致增发了很多的aBNBc代币,然后影响了pair(0x272c...880)中的WBNB和aBNBc的价格,而Wombat项目池子中的WBNB和aBNBc兑换率约为1:1,导致套利者可以经过在pair(0x272c...880)中低价购买aBNBc,然后到Wombat项目的WBNB/aBNBc池子中换出WBNB,完成套利。目前套利地址(0x20a0...876f)共获利约200万美元,Beosin Trace将持续对被盗资金进行监控。
Helio_Money项目:
套利地址:
0x8d11f5b4d351396ce41813dce5a32962aa48e217
因为Ankr Staking: aBNBc Token项目遭受私钥走漏进犯,导致增发了很多的aBNBc代币,aBNBc和WBNB的买卖对中,WBNB被掏空,WBNB价格升高。套利者首要运用10WBNB交流出超发后的很多aBNBc.之后将aBNBc交流为hBNB。以hBNB为抵押品在Helio_Money中进行假贷,假贷出约1644万HAY。之后将HAY交流为约1550万BUSD,价值挨近1亿人民币。
#事情总结
针对本次事情,Beosin安全团队主张:1. 项目的管理员权限最好交由多签钱包进行管理。2. 项目方操作时,务必妥善保管私钥。3. 项目上线前,主张挑选专业的安全审计公司进行全面的安全审计,躲避安全危险。
此时快讯
【2022-12-03 14:32】【马斯克:SBF在民主党选举上花费超过10亿美元】金色财经报道,特斯拉创始人马斯克声称,SBF为民主党选举贡献了超过10亿美元。他想知道SBF为什么隐瞒了准确的数字,如果总数是准确的,剩余的资金去了哪里。
