買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > 火必APP > Info

EOS:黑客如何在三分鐘利用3000美元套取1億人民幣?Ankr相關安全事件分析_NBC

Author:

Time:1900/1/1 0:00:00

2022年12月2日,據區塊鏈安全審計公司Beosin旗下BeosinEagleEye安全風險監控、預警與阻斷平臺監測顯示,AnkStaking的aBNBcToken項目遭受私鑰泄露攻擊,攻擊者通過Deployer地址將合約實現修改為有漏洞的合約,攻擊者通過沒有權限校驗的0x3b3a5522函數鑄造了大量aBNBc代幣后賣出,攻擊者共獲利5500個BNB和534萬枚USDC,約700萬美元,BeosinTrace將持續對被盜資金進行監控。Beosin安全團隊現將事件分析結果與大家分享如下。

#Ankr是什么?

據了解,Ankr是一個去中心化的Web3基礎設施提供商,可幫助開發人員、去中心化應用程序和利益相關者輕松地與一系列區塊鏈進行交互。

Avalanche黑客松2023已啟動:7月24日消息,Avalanche發推稱,其黑客松2023正式啟動,旨在通過指導和研討會提升開發者技能水平,報名截止日期為8月21日11:59(UTC+8)。[2023/7/24 15:54:36]

攻擊發生之后,Ankr針對aBNBc合約遭到攻擊一事稱,「目前正在與交易所合作以立即停止交易。AnkrStaking上的所有底層資產都是安全的,所有基礎設施服務不受影響。」

#本次攻擊事件相關信息

攻擊交易

0xe367d05e7ff37eb6d0b7d763495f218740c979348d7a3b6d8e72d3b947c86e33

報告:日本因朝鮮加密黑客攻擊而遭受的損失占全球的30%:金色財經報道,根據區塊鏈分析公司Elliptic的一項研究,日本因朝鮮加密貨幣黑客攻擊而造成的損失居世界首位,占總數的30%。根據 2022 年估計損失的 6.4 億美元加密貨幣,日本在這些攻擊中遭受了 7.21 億美元的損失,占全球總損失 23 億美元的 30%。

根據該報告,越南是第二大受攻擊的國家,在此期間損失了 5.4 億美元。美國以 4.97 億美元的損失位居第三,香港以 2.81 億美元的損失位居第四。[2023/5/16 15:04:39]

攻擊者地址

0xf3a465C9fA6663fF50794C698F600Faa4b05c777(AnkrExploiter)

被攻擊合約

0xE85aFCcDaFBE7F2B096f268e31ccE3da8dA2990A

Filecoin公布“虛擬黑客馬拉松”獲獎者名單:據Filecoin官方發布,在宣布SpaceRace(Filecoin礦工的全球競賽)之后,Filecoin公布“虛擬黑客馬拉松”獲獎名單,第一名獲得者是DeepVerse團隊;第二名獲得者是Filecoin定價機制;第三名獲獎者是Filecoin Research Repository背后的團隊;

此前報道,Filecoin將于7月6日至8月6日開設為期30天的“虛擬黑客馬拉松”。據介紹,HackFS旨在為分散式網絡奠定基礎。開發人員將構建dapp、游戲開發工具,DeFi集成以及其他利用分散存儲的技巧。[2020/9/9]

#攻擊流程

1.在aBNBc的最新一次升級后,項目方的私鑰遭受泄露。攻擊者使用項目方地址將合約實現修改為有漏洞的版本。

動態 | PeckShield安全播報:EOS競猜游戲MyEosVegas正遭黑客攻擊 損失已超9,000個EOS:據PeckShield態勢感知平臺數據顯示:今晨08:09至晚間19:38之間,黑客已共計向MyEosVegas游戲合約(eosvegasjack)發起超700次攻擊,已獲利超9,000個EOS,截止目前,攻擊還在持續。此次攻擊事件為首的黑客(1supereosman)共利用了aaaaasssss22、zhumeng15132、chenpj111111 等10余個賬號實施攻擊,獲利后統一轉賬至1supereosman,最后將獲利7,530個EOS轉至Binance交易所賬號(binancecleos)。此外還有10余個賬號參與攻擊獲利2,000余EOS,暫未明確資金最終流向。根據當前EOS市場價格37元估算,此次攻擊給MyEosVegas游戲帶來損失已超33萬元。PeckShield安全人員分析發現,此次MyEosVegas游戲被攻擊,黑客采用是的類似隨機數缺陷的合約參數處理漏洞。接連發生的EOS DApp安全攻擊事件,持續給EOS DApp生態安全敲響警鐘,EOS競猜類游戲機制還存在較大設計缺陷[2018/11/10]

2.由攻擊者更換的新合約實現中,0x3b3a5522函數的調用沒有權限限制,任何人都可以調用此函數鑄造代幣給指定地址。

3.攻擊者給自己鑄造大量aBNBc代幣,前往指定交易對中將其兌換為BNB和USDC。

4.攻擊者共獲利5500WBNB和534萬USDC。

#受影響的其他項目:

由于Ankr的aBNBc代幣和其他項目有交互,導致其他項目遭受攻擊,下面是已知項目遭受攻擊的分析。

Wombat項目:

由于AnkrStaking:aBNBcToken項目遭受私鑰泄露攻擊,導致增發了大量的aBNBc代幣,從而影響了pair中的WBNB和aBNBc的價格,而Wombat項目池子中的WBNB和aBNBc兌換率約為1:1,導致套利者可以通過在pair中低價購買aBNBc,然后到Wombat項目的WBNB/aBNBc池子中換出WBNB,實現套利。目前套利地址共獲利約200萬美元,BeosinTrace將持續對被盜資金進行監控。

Helio_Money項目:

套利地址:

0x8d11f5b4d351396ce41813dce5a32962aa48e217

由于AnkrStaking:aBNBcToken項目遭受私鑰泄露攻擊,導致增發了大量的aBNBc代幣,aBNBc和WBNB的交易對中,WBNB被掏空,WBNB價格升高。套利者首先使用10WBNB交換出超發后的大量aBNBc.之后將aBNBc交換為hBNB。以hBNB為抵押品在Helio_Money中進行借貸,借貸出約1644萬HAY。之后將HAY交換為約1550萬BUSD,價值接近1億人民幣。

#事件總結

針對本次事件,Beosin安全團隊建議:1.項目的管理員權限最好交由多簽錢包進行管理。2.項目方操作時,務必妥善保管私鑰。3.項目上線前,建議選擇專業的安全審計公司進行全面的安全審計,規避安全風險。

Tags:BNBEOSNBCWBNBbnb馬克會綠主角嗎EOSC幣qinbchainwbnb幣是什么

火必APP
LEO:全面介紹新一代隱私公鏈Aleo_區塊鏈

Aleo是第一個使用零知識證明解決隱私問題、同時保證可編程特性的公鏈。Aleo提供的隱私保護包括隱藏參與者、金額、智能合約等交互細節,而且Aleo還將智能合約執行轉移到鏈下,支持各種Dapp,保.

1900/1/1 0:00:00
FTX:萬字回顧FTX 興衰史:這不是加密行業的第一次危機 也不會是最后一次_CRY

Itisonlyamomentthatdeterminesaperson''slife,aswellashisentiredestiny.決定一個人的一生,以及整個命運的.

1900/1/1 0:00:00
區塊鏈:“最新案”對比“第一案” :窺監管層對于NFT的態度及定性變化_NCE

原文:《行業利好|最新案”對比“第一案”,NFT定性變了?》 作者:肖颯法律團隊 常讀颯姐團隊公眾號的伙伴們一定知道,我國目前尚未制訂專門針對NFT數字藏品的任何法律.

1900/1/1 0:00:00
CEB:Facebook、Twitter先后撲街 社交媒體的未來屬于Web3嗎_BOOK

最近埃隆-馬斯克收購推特的舉動引發了熱議。一方面,一些用戶認為這位特立獨行、做事說一不二的億萬富翁可以真正充分發揮平臺的巨大潛力。但另外一部分人卻因此擔憂互聯網未來的發展.

1900/1/1 0:00:00
SIS:Bankless:Genesis危機事件全面梳理_Genesis Vision

原文來源:Bankless原文作者:JackInabinetFTX崩盤余波的威懾力不減,導致加密借貸平臺Genesis陷入一連串的市場質疑之中.

1900/1/1 0:00:00
DEF:光環褪去的DeFi還能得到主流采用嗎?_DeFireX

目前,全球的核心金融體系結構是中心化的,而去中心化金融提供了替代方案。DeFi使用區塊鏈進行交易,無需依靠第三方和托管人,所有第三方的角色均由智能合約承擔.

1900/1/1 0:00:00
ads