EOS:黑客如何在三分鐘利用3000美元套取1億人民幣？Ankr相關安全事件分析_NBC

2022年12月2日，據區塊鏈安全審計公司Beosin旗下BeosinEagleEye安全風險監控、預警與阻斷平臺監測顯示，AnkStaking的aBNBcToken項目遭受私鑰泄露攻擊，攻擊者通過Deployer地址將合約實現修改為有漏洞的合約，攻擊者通過沒有權限校驗的0x3b3a5522函數鑄造了大量aBNBc代幣后賣出，攻擊者共獲利5500個BNB和534萬枚USDC，約700萬美元，BeosinTrace將持續對被盜資金進行監控。Beosin安全團隊現將事件分析結果與大家分享如下。

#Ankr是什么？

據了解，Ankr是一個去中心化的Web3基礎設施提供商，可幫助開發人員、去中心化應用程序和利益相關者輕松地與一系列區塊鏈進行交互。

Avalanche黑客松2023已啟動:7月24日消息，Avalanche發推稱，其黑客松2023正式啟動，旨在通過指導和研討會提升開發者技能水平，報名截止日期為8月21日11:59（UTC+8）。[2023/7/24 15:54:36]

攻擊發生之后，Ankr針對aBNBc合約遭到攻擊一事稱，「目前正在與交易所合作以立即停止交易。AnkrStaking上的所有底層資產都是安全的，所有基礎設施服務不受影響。」

#本次攻擊事件相關信息

攻擊交易

0xe367d05e7ff37eb6d0b7d763495f218740c979348d7a3b6d8e72d3b947c86e33

報告：日本因朝鮮加密黑客攻擊而遭受的損失占全球的30%:金色財經報道，根據區塊鏈分析公司Elliptic的一項研究，日本因朝鮮加密貨幣黑客攻擊而造成的損失居世界首位，占總數的30%。根據 2022 年估計損失的 6.4 億美元加密貨幣，日本在這些攻擊中遭受了 7.21 億美元的損失，占全球總損失 23 億美元的 30%。

根據該報告，越南是第二大受攻擊的國家，在此期間損失了 5.4 億美元。美國以 4.97 億美元的損失位居第三，香港以 2.81 億美元的損失位居第四。[2023/5/16 15:04:39]

攻擊者地址

0xf3a465C9fA6663fF50794C698F600Faa4b05c777(AnkrExploiter)

被攻擊合約

0xE85aFCcDaFBE7F2B096f268e31ccE3da8dA2990A

Filecoin公布“虛擬黑客馬拉松”獲獎者名單:據Filecoin官方發布，在宣布SpaceRace（Filecoin礦工的全球競賽）之后，Filecoin公布“虛擬黑客馬拉松”獲獎名單，第一名獲得者是DeepVerse團隊；第二名獲得者是Filecoin定價機制；第三名獲獎者是Filecoin Research Repository背后的團隊；

此前報道，Filecoin將于7月6日至8月6日開設為期30天的“虛擬黑客馬拉松”。據介紹，HackFS旨在為分散式網絡奠定基礎。開發人員將構建dapp、游戲開發工具，DeFi集成以及其他利用分散存儲的技巧。[2020/9/9]

#攻擊流程

1.在aBNBc的最新一次升級后，項目方的私鑰遭受泄露。攻擊者使用項目方地址將合約實現修改為有漏洞的版本。

動態 | PeckShield安全播報：EOS競猜游戲MyEosVegas正遭黑客攻擊 損失已超9,000個EOS:據PeckShield態勢感知平臺數據顯示：今晨08:09至晚間19:38之間，黑客已共計向MyEosVegas游戲合約（eosvegasjack）發起超700次攻擊，已獲利超9,000個EOS，截止目前，攻擊還在持續。此次攻擊事件為首的黑客（1supereosman）共利用了aaaaasssss22、zhumeng15132、chenpj111111 等10余個賬號實施攻擊，獲利后統一轉賬至1supereosman，最后將獲利7,530個EOS轉至Binance交易所賬號（binancecleos)。此外還有10余個賬號參與攻擊獲利2,000余EOS，暫未明確資金最終流向。根據當前EOS市場價格37元估算，此次攻擊給MyEosVegas游戲帶來損失已超33萬元。PeckShield安全人員分析發現，此次MyEosVegas游戲被攻擊，黑客采用是的類似隨機數缺陷的合約參數處理漏洞。接連發生的EOS DApp安全攻擊事件，持續給EOS DApp生態安全敲響警鐘，EOS競猜類游戲機制還存在較大設計缺陷[2018/11/10]

2.由攻擊者更換的新合約實現中，0x3b3a5522函數的調用沒有權限限制，任何人都可以調用此函數鑄造代幣給指定地址。

3.攻擊者給自己鑄造大量aBNBc代幣，前往指定交易對中將其兌換為BNB和USDC。

4.攻擊者共獲利5500WBNB和534萬USDC。

#受影響的其他項目：

由于Ankr的aBNBc代幣和其他項目有交互，導致其他項目遭受攻擊，下面是已知項目遭受攻擊的分析。

Wombat項目：

由于AnkrStaking:aBNBcToken項目遭受私鑰泄露攻擊，導致增發了大量的aBNBc代幣，從而影響了pair中的WBNB和aBNBc的價格，而Wombat項目池子中的WBNB和aBNBc兌換率約為1:1，導致套利者可以通過在pair中低價購買aBNBc,然后到Wombat項目的WBNB/aBNBc池子中換出WBNB，實現套利。目前套利地址共獲利約200萬美元，BeosinTrace將持續對被盜資金進行監控。

Helio_Money項目：

套利地址：

0x8d11f5b4d351396ce41813dce5a32962aa48e217

由于AnkrStaking:aBNBcToken項目遭受私鑰泄露攻擊，導致增發了大量的aBNBc代幣，aBNBc和WBNB的交易對中，WBNB被掏空，WBNB價格升高。套利者首先使用10WBNB交換出超發后的大量aBNBc.之后將aBNBc交換為hBNB。以hBNB為抵押品在Helio_Money中進行借貸，借貸出約1644萬HAY。之后將HAY交換為約1550萬BUSD，價值接近1億人民幣。

#事件總結

針對本次事件，Beosin安全團隊建議：1.項目的管理員權限最好交由多簽錢包進行管理。2.項目方操作時，務必妥善保管私鑰。3.項目上線前，建議選擇專業的安全審計公司進行全面的安全審計，規避安全風險。

Tags：BNBEOSNBCWBNBbnb馬克會綠主角嗎EOSC幣qinbchainwbnb幣是什么

火必APP