2022年12月2日,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,AnkStaking的aBNBc Token項目遭受私鑰泄露攻擊,攻擊者通過Deployer地址將合約實現修改為有漏洞的合約,攻擊者通過沒有權限校驗的0x3b3a5522函數鑄造了大量aBNBc代幣后賣出,攻擊者共獲利5500個BNB和534萬枚USDC,約700萬美元,Beosin Trace將持續對被盜資金進行監控。Beosin安全團隊現將事件分析結果與大家分享如下。
據了解,Ankr 是一個去中心化的 Web3 基礎設施提供商,可幫助開發人員、去中心化應用程序和利益相關者輕松地與一系列區塊鏈進行交互。
CertiK:Star Protocol項目Discord服務器遭黑客入侵:金色財經報道,據CertiK官方推特發布消息稱,Star Protocol項目Discord服務器遭黑客入侵。在團隊確認已重獲對服務器的控制之前,請勿點擊任何鏈接。[2023/7/11 10:47:24]
攻擊發生之后,Ankr 針對 aBNBc 合約遭到攻擊一事稱,「目前正在與交易所合作以立即停止交易。Ankr Staking 上的所有底層資產都是安全的,所有基礎設施服務不受影響。」
攻擊交易
0xe367d05e7ff37eb6d0b7d763495f218740c979348d7a3b6d8e72d3b947c86e33
美國政府表示朝鮮支持的黑客組織以加密和區塊鏈公司為攻擊目標:金色財經報道,美國聯邦調查局 (FBI)、網絡安全和基礎設施安全局 (CISA) 和財政部 (Treasury) 周一發布了一份聯合網絡安全咨詢 (CSA),以強調至少自 2020 年以來朝鮮支持的高級持續威脅 (APT) 組織使用的與加密貨幣盜竊相關的網絡威脅和策略,涉及的組織為 Lazarus Group、APT38、BlueNoroff 和 Stardust Chollima。
美國政府表示,它已經觀察到朝鮮網絡攻擊者針對廣泛的加密和區塊鏈公司,包括“加密貨幣交易所、去中心化金融 (DeFi) 協議、玩賺加密視頻游戲、加密貨幣貿易公司、風險投資基金,以及持有大量加密貨幣或有價值的非同質代幣(NFT)的個人”。該公告向區塊鏈技術和加密貨幣行業的利益相關者提供有關策略、技術和程序 (TTP) 和妥協指標 (IOC) 的信息,以幫助他們識別和減輕針對加密貨幣的網絡威脅。[2022/4/19 14:32:28]
攻擊者地址
動態 | 黑客使用微軟電子郵件帳戶竊取用戶的加密貨幣:據cointelegraph報道,一名受害者稱,黑客利用他的微軟電子郵件帳戶重置密碼并訪問他的Kraken帳戶,使他損失了超過1比特幣的財產。一些Reddit用戶證明了類似的經歷。 微軟尚未對此安全漏洞的最新升級做出回應。[2019/4/30]
0xf3a465C9fA6663fF50794C698F600Faa4b05c777 (Ankr Exploiter)
被攻擊合約
0xE85aFCcDaFBE7F2B096f268e31ccE3da8dA2990A
1. 在aBNBc的最新一次升級后,項目方的私鑰遭受泄露。攻擊者使用項目方地址(Ankr: Deployer)將合約實現修改為有漏洞的版本。
動態 | 多款EOS DApp遭黑客新型交易memo攻擊:近日,PeckShield安全盾風控平臺DAppShield監測到3款EOS競猜類DApp遭到新型交易memo攻擊, 共計損失12,883個EOS。PeckShield安全人員初步分析認為:黑客通過精心構造投注交易的memo,導致游戲方服務器解析異常,從而持續中獎或導致異常大額退款。PeckShield安全人員在此提醒,開發者應在合約上線前做好安全測試,尤其是加強異常數據的處理,必要時可尋求第三方安全公司協助,幫助其完成合約上線前攻擊測試及基礎安全防御部署。[2019/4/29]
動態 | 區塊鏈游戲Last Winner被黑客攻擊 1200W人民幣被盜:區塊鏈游戲Last Winner風靡以太坊網絡,然而Last Winner則被黑客利用,AnChain.ai通過態勢感知發現了一個攻擊合約正在不斷從Last Winner中攫取ETH!根據AnChain.ai提供的數據,這個由黑客創造出來的攻擊合約發起了將近5W筆交易,僅花費4天時間,就累計獲利5194ETH,價值將近1200W人民幣。[2018/8/17]
2.由攻擊者更換的新合約實現中, 0x3b3a5522函數的調用沒有權限限制,任何人都可以調用此函數鑄造代幣給指定地址。
3.攻擊者給自己鑄造大量aBNBc代幣,前往指定交易對中將其兌換為BNB和USDC。
4. 攻擊者共獲利5500WBNB和534萬USDC(約700萬美元)。
由于Ankr的aBNBc代幣和其他項目有交互,導致其他項目遭受攻擊,下面是已知項目遭受攻擊的分析。
Wombat項目:
由于Ankr Staking: aBNBc Token項目遭受私鑰泄露攻擊,導致增發了大量的aBNBc代幣,從而影響了pair(0x272c...880)中的WBNB和aBNBc的價格,而Wombat項目池子中的WBNB和aBNBc兌換率約為1:1,導致套利者可以通過在pair(0x272c...880)中低價購買aBNBc,然后到Wombat項目的WBNB/aBNBc池子中換出WBNB,實現套利。目前套利地址(0x20a0...876f)共獲利約200萬美元,Beosin Trace將持續對被盜資金進行監控。
Helio_Money項目:
套利地址:
0x8d11f5b4d351396ce41813dce5a32962aa48e217
由于Ankr Staking: aBNBc Token項目遭受私鑰泄露攻擊,導致增發了大量的aBNBc代幣,aBNBc和WBNB的交易對中,WBNB被掏空,WBNB價格升高。套利者首先使用10WBNB交換出超發后的大量aBNBc.之后將aBNBc交換為hBNB。以hBNB為抵押品在Helio_Money中進行借貸,借貸出約1644萬HAY。之后將HAY交換為約1550萬BUSD,價值接近1億人民幣。
針對本次事件,Beosin安全團隊建議:1. 項目的管理員權限最好交由多簽錢包進行管理。2. 項目方操作時,務必妥善保管私鑰。3. 項目上線前,建議選擇專業的安全審計公司進行全面的安全審計,規避安全風險。
Beosin
企業專欄
閱讀更多
金色早8點
金色財經
去中心化金融社區
CertiK中文社區
虎嗅科技
區塊律動BlockBeats
念青
深潮TechFlow
Odaily星球日報
騰訊研究院
文/Jack Niewold,Crypto Pragmatist創始人;譯/金色財經xiaozou我們現在盡可以樂觀一點,但這是一個一次暴雷后就會損失浪費數十億美元風險投資的行業.
1900/1/1 0:00:00提起元宇宙,很多人并不陌生,我國著名科學家錢學森早在30年前為虛擬現實起了一個很美的名字叫“靈境”,他說“靈境”會是科技和藝術大爆發的時代.
1900/1/1 0:00:00創作者:DAOctor Elon Musk創立的OpenAI基金會的最新聊天機器人ChatGPT以其強大寫作、對話能力席卷了網絡世界.
1900/1/1 0:00:00撰寫:Russian Defi比特幣和以太坊存儲用戶數據(或 "狀態")的方式,以及智能合約與上述數據互動的方式,都有很大不同.
1900/1/1 0:00:00自 8 月 14 日的 aUSD 錯誤鑄造事件已經過去了三個多月,前不久,Acala 在社區直播中闡述了該事件的經過和原因。在這段時間里,Acala 團隊采取了各項平臺恢復措施.
1900/1/1 0:00:00DeFi數據 1、DeFi代幣總市值:356.37億美元 DeFi總市值及前十代幣 數據來源:coingecko2、過去24小時去中心化交易所的交易量39.
1900/1/1 0:00:00