新的一個月,新的 DeFi 黑客攻擊! 雖然情況和發生的事情仍不清楚,但看起來黑客已經利用了去中心化金融協議 Ankr。
正如幣安首席執行官趙長鵬 (CZ) 幾個小時前所說,Ankr 和 Hay 可能遭到黑客攻擊。 根據初步分析,開發者的私鑰被黑客攻擊,使攻擊者能夠操縱 Ankr 智能合約。
區塊鏈安全公司 PeckShield 說 通過Twitter:
我們的分析表明 $aBNBc 代幣合約存在無限鑄幣漏洞。 具體來說,雖然 mint() 受 onlyMinter 修飾符保護,但還有另一個函數(帶有 0x3b3a5522 func.signature)完全繞過調用者驗證以獲得任意 mint!
通過這種方式,攻擊者能夠鑄造 6 千萬億個 aBNBc 代幣,並將其兌換成大約 5 萬美元的 USDC。 CZ 通知 Binance 幾個小時前暫停了提款。 它還凍結了黑客轉移到 Binance 的大約 3 萬美元。
可能對 Ankr 和 Hay 進行黑客攻擊。 初步分析是開發者私鑰被盜,黑客將智能合約更新為更加惡意的合約。 Binance 幾個小時前暫停了提款。 還凍結了黑客轉移到我們 CEX 的大約 3 萬美元。
-CZ🔶Binance(@cz_binance) 2022 年 12 月 2 日
幣安用戶在所有混亂中都沒有受到影響
自漏洞利用以來,aBNBc 代幣的價格暴跌了近 100%。 最近的報告表明,攻擊者已經將部分被盜資金轉移到 Tornado Cash。 據安全公司 PeckShield 稱,部分被掠奪的加密貨幣是通過 Celer 和 deBridgeGate 橋接的。
幾個月前,同一家公司對 Ankr 進行了審計,警告“管理密鑰存在信任問題”,該問題賦予 aBNB 代幣鑄造特權。 雖然 Ankr 團隊“承認”了警告,但他們似乎 沒修好.
就在最近,BNB Chain 通過 Ankr 引入了流動性質押功能,用戶可以通過將 BNB 代幣分配給流動性質押合約來賺取利息,並獲得 aBNBc。
不過,幣安很快給出了澄清,稱 BNB 團隊正在與受影響的各方聯繫。 “這不是針對#Binance 的攻擊,你的資金在我們的交易所是 SAFU,”它在 Twitter 的一份聲明中說。
由於黑客幾乎完全清空了 PancakeSwap 和 ApeSwap 上的 aBNBc 流動資金池,aBNBc 的價格在攻擊後下跌了 99.5% 利用.
機會主義交易者將不到 3 美元變成了 15.5 萬美元
根據分析公司 Lookonchain 的說法,機會主義交易員 了 利用這種情況並以 15.5 BNB 的最低投注獲利 10 萬 BUSD。
Ankr exploiter 拋售 aBNBc 後,該交易員僅用價值 183,885 美元的 10 個 BNB 購買了 2,879 個 aBNBc,然後以 Helio 作為抵押存入 183,885 個 aBNBc,並藉入 16 萬個 HAY。 最終,他賣出了16萬個HAY,獲得了15.5萬個BUSD。
結果,HAY 穩定幣大幅貶值。 穩定幣的價格有時跌至 0.21 美元,但截至發稿時仍設法逐漸回升至 0.61 美元。
值得注意的是,幣安孵化器於 2022 年 XNUMX 月對 Ankr 進行了戰略投資。幣安孵化器的投資旨在幫助 Ankr 進一步完善 可擴展性 區塊鏈網路。
也許是在消息傳出後,BNB 價格下跌了 3.1%,截至發稿時交易價格為 290 美元。
資料來源:https://bitcoinist.com/ankr-suffers-exploit-binance-ceo-clarifies/