BSP:Ankr被攻擊始末：套利者獲利超黑客 黑客發貔貅盤玩“行為藝術”_游戲bnb幾個女主

今日，Ankr 的部署者密鑰疑似被泄露， 10 萬億枚 aBNBc 被鑄造，其在 Pancake 上的交易池流動性被掏空，aBNBc 價格已幾近歸零。

而與以往歷次攻擊事件略有不同，本次攻擊事件中出現了諸多令人啼笑皆非的“趣聞”：套利者獲利遠超黑客（我們先假設其非同一人）、黑客發行 FuckBNB meme 幣大搞“行為藝術”、aBNBc 不斷增發總發行量達到前所未聞的數量等等。本次攻擊事件的后續發展所帶來的關注，甚至已經超過攻擊本身。

攻擊事件回顧

今日早間，黑客獲得了 Ankr 部署者權限，對這一項目展開了攻擊。

據鏈上數據顯示， 10 萬億枚 aBNBc 代幣在一筆轉賬中被鑄造，并發送到0xf3a4開頭的地址。

在增發了巨量代幣之后，有一部分 aBNBc 被留在了錢包之中，而更多的代幣則被拋出獲利。黑客將 1.125 BNB 轉入其地址作為 gas 費用并啟動 aBNBc 拋售，總計兌換了約 405 萬 枚 USDC 和 5000 枚 BNB。而獲利的 4500 枚 BNB 又被兌換了約 129 萬枚 USDC 并將 900 枚 BNB 存入 Tornado.Cash，之后攻擊者將所有 USDC 跨鏈接入以太坊網絡 Celer Network 和 Multichain，再將全部 4, 684, 156 枚 USDC 兌換了 3, 446 枚 ETH。由于 ANKR 價格大幅下跌，當前做空 ANKR 回報率達到 53.25% 。

CertiK：此前Ankr攻擊者又向Tornado Cash存入700ETH:金色財經報道，據CertiK數據監測，此前的Ankr攻擊者又向Tornado Cash存入700ETH。[2022/12/24 22:05:25]

安全團隊派盾 PeckShield 發現，Ankr 被盜事件中，aBNBc 代幣合約存在無限鑄幣漏洞，雖然鑄幣函數 mint()受到 onlyMinter 修改器（modifier）保護，但還有另一個函數（帶有 0x3b3a5522 func.signature）可以完全繞過調用者驗證以獲得無限鑄幣權限。

本次攻擊事件造成了 aBNBc 代幣的流動性池枯竭，幣價腰斬。至此，黑客從本次攻擊事件中獲利約 500 萬美元。

若事情至此落幕，這只是熊市之中的又一起“平平無奇”的安全事故。但“套利者”恰逢其時得跟上了。

在 aBNBc 被黑客砸至歸零之時，一用戶（ 0 xaab 2 ……dfc 3 ）用 10 BNB 購買了超過 18 萬枚 aBNBc，并在借貸平臺 helio 抵押 aBNBc 借出超過 1600 萬枚穩定幣 HAY。（Odaily星球日報注：HAY 是基于 BNB 的美元超額抵押去中心化穩定幣，可通過存入 aBNB-LP 以鑄造 HAY。）目前官方團隊表示已發現該漏洞，將在獲得更多信息后立即通知社區。

投資組合跟蹤應用DeBank上線移動端App:金色財經消息，投資組合跟蹤應用DeBank上線移動端App，支持iOS、Android版本。[2022/7/29 2:45:33]

套利者將 Hay 出售為超 1500 萬枚 BUSD，Hay 流動性池被掏空。作為去中心化穩定幣，HAY 的價格一度已嚴重脫錨，最低跌至約 0.21 美元，目前價格已逐漸回升，現報價 0.70 美元。

繼黑客獲利 500 萬美元后，套利者又從借貸平臺獲利 1500 萬美元，其獲利金額遠大于黑客。

上一次有“套利者收益超黑客”發生，還是在 pGALA 事件中。而在坊間，關于“套利者”的真實身份又引來投資者的猜忌。用戶紛紛對這一神秘人物做出著猜想，有人懷疑套利者或許只是黑客的另一地址。

而事情的發展遠遠超出所有人的預期，盡管攻擊者的獲利已被 Tornado 匿名轉移，但套利者似乎并不熟悉鏈上操作。

KingData新功能“KingData New Dapp Ranking”今日正式上線:據官方消息，KingData新功能“KingData New Dapp Ranking”今日正式上線，該產品致力于幫助 DeFi 用戶快速發現每個人都在談論的新 Dapps、DeFi、NFT、游戲和網站。幫助 DeFi 項目方擺脫傳統的冷啟動方式，提供一個快速曝光的流量平臺。KingData Dapp已支持對HECO、ETH、Solana、Polygon、Arbitrum、BSC、Fantom、OEC等熱門公鏈的新項目監控。[2021/9/16 23:30:05]

鏈上數據顯示，匿名套利者竟然將所獲利潤 1550 萬美元通過中間地址（ 0 x 4 c......2757 ）轉入了幣安。

盡管這一套利行為難以稱之為“黑客攻擊”，但在某種意義上確屬“不當得利”。

緊接著，CZ 表示，Binance 于幾個小時前暫停了提款。

LBank將于4月8日16:00上線GLEEC:據悉，LBank將于4月8日16:00（UTC+8）上線GLEEC（格力幣），開放GLEEC/BTC交易對，并于4月7日16:00開啟充值，于4月9日16:00開啟提現。

為慶祝GLEEC上線，LBank聯合GLEEC于4月8日16:00開啟“持LBK得空投和交易大賽”雙重福利活動，總獎勵共40,000GLEEC。活動截止4月13日16:00，為期5天。更多詳情請關注LBank官網公告。[2020/4/7]

本次事件中，還出現了不少令人啼笑皆非的“趣聞”。

今日下午，CZ 在推特上表示，對于 Ankr 和 Hay 的黑客攻擊，初步分析是開發者私鑰被盜，黑客將智能合約更新為更加惡意的合約。安全團隊的調查也有相同的結論，有安全團隊發現，多個不同的調用地址都造成了代幣增發。這產生了一個有趣的后果：Ankr 攻擊事件的黑客地址或許是歷次攻擊中規模最大的。

BSCScan 的標簽顯示，Ankr Exploiter 的標識甚至已經依次編號至五十余號，攻擊者的地址數量之多令人咂舌。

金色財經現場報道，Franklin Song：數據應該實現可編程的信任、可編程的資產:在2018年世界數字資產峰會（WDAS）暨FBG年會上，來自DATA公司的Franklin Song表示，當前數據生態系統是區塊鏈系統的中心，數據的生產者、消費者、處理者在整個系統中扮演不同的角色。其中超過40%的廣告流量來自數據擁有者，產生大約為160億價值，但數據所有者很少從中得到激勵來使用數據，這也導致廣告的效用也越來越低，目前有6億的設備用于阻礙廣告彈出服務。由此看，現在數字生態系統上還比較支離破碎，人們沒有得到自己數據應有的回報，數據應該實現可編程的信任、可編程的資產。[2018/5/2]

更為離奇的是，由于多次調用所帶來的多次增發，aBNBc 增發的數量早已不是最初的 10 萬億枚。

鏈上數據顯示，aBNBc 總供應量已超 10 的 60 次方枚。

更為準確的來說，其供應量為 115, 792, 089, 237, 316, 000, 000, 000, 000, 000, 000, 000, 000, 000, 000, 000, 000, 000, 000, 000 枚。

在攻擊事件之后，黑客也并不滿足于來自 Ankr 的“少量”收益，更致力于更進一步擴大盈利。

鏈上數據顯示，攻擊者創建代幣 Fuck BNB，并提供 15 枚 ETH 在 Uniswap V2上為其建立流動性池。但隨后安全機構 Go+Labs 表示，Fuck BNB 代幣疑似為貔貅盤，請用戶注意相關風險。

今日下午，幣安發聲表示，已凍結黑客轉移至交易所的約 300 萬美元。BNB Chain 方面則表示，已注意到今日早些時候 Ankr aBNBc 合約遭黑客攻擊事件，Ankr 攻擊者地址已被列入黑名單。

Ankr 方面也對此事件作出了回應。其表示，目前已與 DEX 進行了接觸并告知交易所阻止相關交易，目前正在評估情況并重新發行代幣。此外，Ankr 還保證當前 Ankr Staking 的所有底層資產都是安全的，所有基礎設施服務不受影響。目前正在起草一項計劃，Ankr 將補償受影響的用戶。

穩定幣交易平臺 Wombat Exchange 表示，現已暫停 BNB 池，BNB、BNBx、stkBNB 和 aBNBc 的兌換、存取款也已暫停，此前，Wombat 已暫停 aBNBc 池和 HAY 池。

在本次事件中，借貸平臺的損失遠大于 Ankr，但截至本文發布時，HAY 仍未就此事件做出進一步回應。

來源：星球日報

Odaily星球日報

媒體專欄

閱讀更多

金色早8點

金色財經

去中心化金融社區

CertiK中文社區

虎嗅科技

區塊律動BlockBeats

念青

深潮TechFlow

騰訊研究院

Tags：BSPNBSBNBANKBSPTnbs幣未來價格游戲bnb幾個女主lbanktoken

火必APP