2022年12月2日,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,AnkStaking的aBNBc Token项目遭受私钥泄露攻击,攻击者通过Deployer地址将合约实现修改为有漏洞的合约,攻击者通过没有权限校验的0x3b3a5522函数铸造了大量aBNBc代币后卖出,攻击者共获利5500个BNB和534万枚USDC,约700万美元,Beosin Trace将持续对被盗资金进行监控。Beosin安全团队现将事件分析结果与大家分享如下。
据了解,Ankr 是一个去中心化的 Web3 基础设施提供商,可帮助开发人员、去中心化应用程序和利益相关者轻松地与一系列区块链进行交互。
某黑客正以被遗弃的Meme代币为攻击目标获利:5月12日消息,Aurox首席执行官Giorgi Khazarade发现一名黑客一直在从废弃的Meme代币池中抽取剩余的流动性,在这些攻击中几乎没有受害者。攻击者使用DeFi协议Balancer的闪电贷借入大量资金。然后,他们重新定向这些资金以增加所选代币池的数量。一旦资金池的容量增加,攻击者就会从资金池中抽干剩余的流动性,并归还从闪电贷中借来的代币。Khazarade指出,在CATOSHI漏洞利用中(链上数据显示为29天前),黑客通过闪贷借了大约1.84亿美元的wETH,并使用这笔贷款中的大约100万美元购买了CATS。根据该代币经济学,每当有人交易CATOSHI代币时,代币持有者将获得3%的再分配奖励。在购买了超过16.6万枚CATS之后,攻击者将代币桥接到BNB链上,随后以大约10 BNB的价格出售了代币,总利润为3000至4000美元,剩下的资金被用来偿还他们的闪贷。[2023/5/12 14:59:19]
攻击发生之后,Ankr 针对 aBNBc 合约遭到攻击一事称,「目前正在与交易所合作以立即停止交易。Ankr Staking 上的所有底层资产都是安全的,所有基础设施服务不受影响。」
安全公司:黑客正在对MetaMask等主流钱包进行“模态网络钓鱼”攻击:金色财经报道,安全公司CertiK在社交媒体披露,黑客正在对MetaMask等主流钱包进行“模态网络钓鱼”攻击,通过将网络钓鱼消息发送到被识别为合法去中心化应用程序 (dApp) 的移动钱包控制非托管钱包的“模态窗口”,以引诱其所有者批准错误的交易,用户可能会认为他或她正在通过MetaMask钱包批准“安全更新”。 CertiK团队提醒并强调,用户应该对每一个未知的交易请求都非常谨慎,甚至持怀疑态度——即使是那些被标记为安全升级的请求。[2023/4/14 14:03:02]
攻击交易
动态 | EIDOS挖矿攻击发生变种 黑客正对多款DApp发起攻击:今日凌晨3点至今早11点间,PeckShield安全盾风控平台DAppShield监测到hotsexygames账号向多款DApp游戏发起挖矿攻击。PeckShield安全人员分析发现,区别于之前BigGame推出的CPU代付功能被恶意挖矿,此次黑客是通过游戏返奖,在返奖通知内发起EIDOS挖矿,导致DApp CPU被消耗。随着EIDOS的持续火热,不少黑客的攻击目标已经从DApp到去中心化交易所等平台发起攻击,以消耗平台方的CPU资源,这会给普通用户玩DApp甚至交易所提币等带来糟糕的使用体验。PeckShield在此提醒所有DApp发起通知时应过滤合约玩家,避免因恶意挖矿攻击造CPU损耗,必要时可寻求第三方安全公司协助,帮助其完成新功能上线前攻击测试及基础安全防御部署。[2019/11/7]
0xe367d05e7ff37eb6d0b7d763495f218740c979348d7a3b6d8e72d3b947c86e33
动态 | Pigeoncoin被黑客窃取2.35亿枚Token:一名黑客花了一整天的时间,利用Pigeoncoin源代码中的一个漏洞,窃取了2.35亿枚PGN Token,经过一天的努力,这名黑客获得了1.5万美元。[2018/10/5]
攻击者地址
0xf3a465C9fA6663fF50794C698F600Faa4b05c777 (Ankr Exploiter)
被攻击合约
0xE85aFCcDaFBE7F2B096f268e31ccE3da8dA2990A
1. 在aBNBc的最新一次升级后,项目方的私钥遭受泄露。攻击者使用项目方地址(Ankr: Deployer)将合约实现修改为有漏洞的版本。
全球区块链黑客马拉松北美首站·洛杉矶正式召开:美西时间2018年6月23日,由Node Capital、本征资本、IDEAS、金色财经、火币网联合主办的全球区块链黑客马拉松北美·洛杉矶站正式盛大开幕。本次黑客马拉松聚焦区块链技术与研发,邀请100+位中美顶级大咖嘉宾评委前来坐镇,把握区块链技术、行业发展趋势、投资方向。并与50余家中美行业媒体达成合作,协同助力全球区块链黑客马拉松北美·洛杉矶站的召开。本场比赛将不设置单场的奖项,北美五站全部结束后统一评奖,第一名大奖为1BTC。Node Capital还将设置20万ETH的北美市场的区块链项目专项基金。洛杉矶、纽约、多伦多、芝加哥、硅谷北美五场的区块链黑客马拉松的获奖团队将有可能获得Node Capital的投资。[2018/6/24]
2.由攻击者更换的新合约实现中, 0x3b3a5522函数的调用没有权限限制,任何人都可以调用此函数铸造代币给指定地址。
3.攻击者给自己铸造大量aBNBc代币,前往指定交易对中将其兑换为BNB和USDC。
4. 攻击者共获利5500WBNB和534万USDC(约700万美元)。
由于Ankr的aBNBc代币和其他项目有交互,导致其他项目遭受攻击,下面是已知项目遭受攻击的分析。
Wombat项目:
由于Ankr Staking: aBNBc Token项目遭受私钥泄露攻击,导致增发了大量的aBNBc代币,从而影响了pair(0x272c...880)中的WBNB和aBNBc的价格,而Wombat项目池子中的WBNB和aBNBc兑换率约为1:1,导致套利者可以通过在pair(0x272c...880)中低价购买aBNBc,然后到Wombat项目的WBNB/aBNBc池子中换出WBNB,实现套利。目前套利地址(0x20a0...876f)共获利约200万美元,Beosin Trace将持续对被盗资金进行监控。
Helio_Money项目:
套利地址:
0x8d11f5b4d351396ce41813dce5a32962aa48e217
由于Ankr Staking: aBNBc Token项目遭受私钥泄露攻击,导致增发了大量的aBNBc代币,aBNBc和WBNB的交易对中,WBNB被掏空,WBNB价格升高。套利者首先使用10WBNB交换出超发后的大量aBNBc.之后将aBNBc交换为hBNB。以hBNB为抵押品在Helio_Money中进行借贷,借贷出约1644万HAY。之后将HAY交换为约1550万BUSD,价值接近1亿人民币。
针对本次事件,Beosin安全团队建议:1. 项目的管理员权限最好交由多签钱包进行管理。2. 项目方操作时,务必妥善保管私钥。3. 项目上线前,建议选择专业的安全审计公司进行全面的安全审计,规避安全风险。
Beosin
企业专栏
阅读更多
金色早8点
金色财经
去中心化金融社区
CertiK中文社区
虎嗅科技
区块律动BlockBeats
念青
深潮TechFlow
Odaily星球日报
腾讯研究院
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。