比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > Luna > Info

BNB:黑客如何在三分鐘利用3000美元套取1億人民幣?Ankr相關安全事件分析

Author:

Time:1900/1/1 0:00:00

2022年12月2日,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,AnkStaking的aBNBc Token項目遭受私鑰泄露攻擊,攻擊者通過Deployer地址將合約實現修改為有漏洞的合約,攻擊者通過沒有權限校驗的0x3b3a5522函數鑄造了大量aBNBc代幣后賣出,攻擊者共獲利5500個BNB和534萬枚USDC,約700萬美元,Beosin Trace將持續對被盜資金進行監控。Beosin安全團隊現將事件分析結果與大家分享如下。

據了解,Ankr 是一個去中心化的 Web3 基礎設施提供商,可幫助開發人員、去中心化應用程序和利益相關者輕松地與一系列區塊鏈進行交互。

ETH Global公布利用Lens Protocol構建項目的黑客松LF Grow獲勝項目:3月31日消息,ETH Global公布圍繞利用去中心化社交圖譜Lens Protocol構建項目的黑客松LF Grow獲勝項目,12個獲勝項目包括內容實時變現項目mad finance、社交媒體網絡應用Lenster、為社交平臺DApp提供AI算法和隱私的Private AI、基于Lens Protocol的Twitter+Patreon+Twitch+TikTokIris、虛擬電話0xRig、針對Lens帖子的荷蘭式和英式拍賣項目Lens Collect Auctions、信譽協議Aura Reputation、贈品分發模塊Lens Raffle、搜索和發現引擎Sepana Lens Search、加密消息傳遞應用Hashchat、Zilly和Web3個人資料瀏覽器Write Together。[2022/3/31 14:29:29]

攻擊發生之后,Ankr 針對 aBNBc 合約遭到攻擊一事稱,「目前正在與交易所合作以立即停止交易。Ankr Staking 上的所有底層資產都是安全的,所有基礎設施服務不受影響。」

愛爾蘭男子參與黑客活動劫持250萬美元比特幣被判入獄3年:11月17日,愛爾蘭男子Conor Freeman在愛爾蘭都柏林刑事法庭被判處兩年零11個月的監禁,Freeman通過參與SIM卡交換攻擊盜竊200多萬美元加密貨幣。據法官Martin Nolan表示,他已經承認了幾項涉及欺詐的指控。被捕時,他持有142.7枚比特幣,價值超250萬美元。(Coindesk)[2020/11/19 21:22:32]

攻擊交易

0xe367d05e7ff37eb6d0b7d763495f218740c979348d7a3b6d8e72d3b947c86e33

分析 | PeckShield:黑客利用EOS系統合約無限挖礦漏洞已完成修復:據IMEOS報道,隨著EIDOS挖礦的持續火熱,PeckShield全程跟蹤監控,黑客從DApp到交易所再到EOSIO系統合約進行惡意挖礦的行為,并向社區發出預警。今天,EOSIO新升級V1.8.1版本修復了短賬號競拍系統存在的無限挖礦漏洞。另PeckShield安全人員進一步分析認為,昨天黑客利用onerror特性挖礦消耗的僅為個人賬戶CPU,并不能無限制使用系統CPU資源,經官方修復短賬號系統缺陷后,黑客通過EOS系統惡意挖礦的預警已暫時解除,但DApp開發者和交易所仍要持續關注實時CPU消耗情況,應過濾合約賬戶避免被惡意竊取CPU資源。[2019/11/13]

攻擊者地址

0xf3a465C9fA6663fF50794C698F600Faa4b05c777 (Ankr Exploiter)

動態 | 媒體:幣安KYC資料再遭直播 黑客與幣安談判記錄全曝光:8月14日消息,名為Guardian J的用戶像此前的Guardian M一樣,開始在電報群里小范圍地直播幣安KYC資料。此次所泄露的資料注冊時間均為2018年2月26日。 根據黑客與幣安工作人員完整對話截圖文件,對話雙方為黑客John Amat和幣安工作人員Symbiotic。該黑客身份目前暫時無法查證,經過在幣安官方電報群進行查證,確實存在名為Symbiotic的工作人員。文件主要披露以下信息: 1. 黑客稱幣安內部有內鬼,幣安工作人員稱之前也被告知過這個信息。 2. 黑客展示了其手中擁有的幣安用戶KYC資料,且幣安并不清楚這些資料的來源。 3. 黑客愿意披露盜幣黑客以及幣安內鬼的相關信息,但要求幣安分期付300個BTC。 截圖信息顯示,對話發生在7月10日-7月20日之間。這早于黑客Guardian M直播幣安KYC資料,同時也早于Coindesk披露“黑客與幣安首席增長官林義翔談判”的時間。就這份對話截圖的真實性,幣安CMO何一表示,這些截圖真實性尚待驗證。如果任何人能夠提供對幣安安全有用的信息,幣安都愿意付幣,黑客在勒索過程中沒有提供真正有效的信息。(深鏈財經)[2019/8/14]

被攻擊合約

公告 | Newdex受到黑客攻擊 請玩家不要交易 FAST:Fastwin發公告稱由于Newdex受到黑客攻擊,黑客賬號:mcblockchain,請所有玩家不要去 Newdex等任何交易所交易 FAST。已經成交的 FAST,稍后我們會給出相應的解決方案。目前, Newdex 已停止 FAST / EOS 交易對的交易。[2018/12/25]

0xE85aFCcDaFBE7F2B096f268e31ccE3da8dA2990A

1. 在aBNBc的最新一次升級后,項目方的私鑰遭受泄露。攻擊者使用項目方地址(Ankr: Deployer)將合約實現修改為有漏洞的版本。

2.由攻擊者更換的新合約實現中, 0x3b3a5522函數的調用沒有權限限制,任何人都可以調用此函數鑄造代幣給指定地址。

3.攻擊者給自己鑄造大量aBNBc代幣,前往指定交易對中將其兌換為BNB和USDC。

4. 攻擊者共獲利5500WBNB和534萬USDC(約700萬美元)。

由于Ankr的aBNBc代幣和其他項目有交互,導致其他項目遭受攻擊,下面是已知項目遭受攻擊的分析。

Wombat項目:

由于Ankr Staking: aBNBc Token項目遭受私鑰泄露攻擊,導致增發了大量的aBNBc代幣,從而影響了pair(0x272c...880)中的WBNB和aBNBc的價格,而Wombat項目池子中的WBNB和aBNBc兌換率約為1:1,導致套利者可以通過在pair(0x272c...880)中低價購買aBNBc,然后到Wombat項目的WBNB/aBNBc池子中換出WBNB,實現套利。目前套利地址(0x20a0...876f)共獲利約200萬美元,Beosin Trace將持續對被盜資金進行監控。

Helio_Money項目:

套利地址:

0x8d11f5b4d351396ce41813dce5a32962aa48e217

由于Ankr Staking: aBNBc Token項目遭受私鑰泄露攻擊,導致增發了大量的aBNBc代幣,aBNBc和WBNB的交易對中,WBNB被掏空,WBNB價格升高。套利者首先使用10WBNB交換出超發后的大量aBNBc.之后將aBNBc交換為hBNB。以hBNB為抵押品在Helio_Money中進行借貸,借貸出約1644萬HAY。之后將HAY交換為約1550萬BUSD,價值接近1億人民幣。

針對本次事件,Beosin安全團隊建議:1. 項目的管理員權限最好交由多簽錢包進行管理。2. 項目方操作時,務必妥善保管私鑰。3. 項目上線前,建議選擇專業的安全審計公司進行全面的安全審計,規避安全風險。

Beosin

企業專欄

閱讀更多

金色早8點

金色財經

去中心化金融社區

CertiK中文社區

虎嗅科技

區塊律動BlockBeats

念青

深潮TechFlow

Odaily星球日報

騰訊研究院

Tags:BNBNBCEOSANKBNBeanstalkqinbchainEOS CrashAge of Tanks

Luna
WEB:致創業者: Web3的商業周期、規律和機會

作者:盧愛芳 Web3創業今年是一件很時髦、代表趨勢的事,無論在中國還是美國,很多互聯網大廠的年輕人紛紛辭職,投身Web3.

1900/1/1 0:00:00
WEB:如何利用隱喻打造更完美的 Web3 社區

摘要:本文以各種淺顯易懂的方式和說明來解說了現在Dao組織的結構和發展狀況,以及與傳統企模式相比的優勢.

1900/1/1 0:00:00
ENS:分析正在崛起的Web3社交網絡 解讀Web3社交的現狀

作者:Donovan Choy 來源:Bankless 正如你所知,幾個月前,埃隆·馬斯克收購了推特。事實是,推特可以被購買和出售,因為它是一家私人公司,其產品是一個封閉的協議.

1900/1/1 0:00:00
SILVER:金色觀察丨市場為何憂心Silvergate Bank

加密銀行Silvergate Bank和加密行業各大中心化交易機構如FTX、Coinbase、Crypto.com、Circle等有著極其緊密的聯系.

1900/1/1 0:00:00
區塊鏈:金色Web3日報 | Uniswap Labs發布新的隱私政策

DeFi數據 1、DeFi代幣總市值:357.5億美元 DeFi總市值及前十代幣 數據來源:coingecko2、過去24小時去中心化交易所的交易量34.

1900/1/1 0:00:00
區塊鏈:一文了解Web3基礎設施服務版圖:產業模式和生態設施

撰寫:moralis 編譯:深潮 TechFlow區塊鏈的各種基礎設施的發展令人印象深刻。現在的無數公司、組織、項目和社區正在將區塊鏈開發提升到一個新的水平,而 Web3 現在比以往任何時候都更.

1900/1/1 0:00:00
ads