2022年12月2日,据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示,AnkStaking的aBNBcToken项目遭受私钥泄露攻击,攻击者通过Deployer地址将合约实现修改为有漏洞的合约,攻击者通过没有权限校验的0x3b3a5522函数铸造了大量aBNBc代币后卖出,攻击者共获利5500个BNB和534万枚USDC,约700万美元,BeosinTrace将持续对被盗资金进行监控。Beosin安全团队现将事件分析结果与大家分享如下。
#Ankr是什么?
据了解,Ankr是一个去中心化的Web3基础设施提供商,可帮助开发人员、去中心化应用程序和利益相关者轻松地与一系列区块链进行交互。
Tender.fi黑客已返还资金,获得62 ETH赏金:3月8日消息,链上数据显示,攻击Arbitrum生态借贷协议Tender.fi的黑客已返还了资金,Tender.fi团队同意向黑客支付62 ETH(96,500美元)作为赏金。官方团队表示,事后审查正在进行中。
据此前消息,Tender.fi疑似遭白帽黑客攻击,损失159万美元。官方表示,已暂停所有借贷。 安全公司PeckShield和BlockSec的调查显示,黑客利用Tender.fi配置错误的预言机借入价值159万美元的加密资产,而抵押品仅为一个价值70美元的GMX代币。[2023/3/8 12:48:18]
攻击发生之后,Ankr针对aBNBc合约遭到攻击一事称,「目前正在与交易所合作以立即停止交易。AnkrStaking上的所有底层资产都是安全的,所有基础设施服务不受影响。」
朝鲜黑客通过虚假的交易所招聘信息攻击macOS用户:9月28日消息,网络安全公司SentinelOne于9月26日表示,在被称为“Operation In(ter)ception”的黑客活动的最新变体中,被称为Lazarus Group的朝鲜黑客一直在通过加密货币交易所提供诱人的工作机会来吸引macOS 用户。黑客将恶意软件伪装成来自流行的加密货币交易所的招聘信息,使用精心设计且看起来合法的诱饵PDF文档来宣传新加坡艺术总监 – 概念艺术 ( NFT )等职位的空缺。
根据该公司的报告,该黑客组织早在2022年8月就做了同样的事情,但这次使用的是Coinbase加密货币交易所的虚假招聘信息。(finbold)[2022/9/28 22:37:28]
阿根廷政府拒绝向攻击移民局的黑客支付400万美元比特币赎金:黑客近期攻击了阿根廷的移民系统,要求阿根廷政府支付价值400万美元的比特币赎金,导致跨境移民活动暂时瘫痪。但阿根廷政府拒绝与黑客谈判,也不会支付赎金。据当地媒体Infobae报道,官员们表示,网络犯罪分子“没有攻击移民局的关键基础设施”,也没有窃取任何敏感信息,无论是个人的还是公司的。此前消息,根据阿根廷网络犯罪机构公布的一份刑事起诉书,阿根廷国家移民局在8月27日遭到了勒索软件攻击后,随后暂停过境四个小时。据称,黑客通过利用加密病NetWalker进入数据库并从联邦机构窃取信息。勒索软件说明中链接的暗网支付页面显示,黑客最初支付价值200万美元的比特币来解锁文件,在一周之内,这个数字已增加到355 BTC(按当前汇率计算约400万美元)。此前报道称,NetWalker勒索软件已从受害者手中勒索2500万美元的比特币。[2020/9/9]
#本次攻击事件相关信息
黑客攻击数字货币初创公司BeeToken:黑客攻击数字货币初创公司BeeToken,获取了旗下用户信息并且通过电子邮件和Telegram进行钓鱼欺诈,目前上当的用户已经损失了超过100万美元的以太币。BeeToken公司已经通过Twitter和Medium官方账户发布警告。此前,BeeToken刚刚宣布与WeTrust合作,希望打造一个“去中心化的Airbnb”。[2018/2/2]
攻击交易
0xe367d05e7ff37eb6d0b7d763495f218740c979348d7a3b6d8e72d3b947c86e33
攻击者地址
0xf3a465C9fA6663fF50794C698F600Faa4b05c777(AnkrExploiter)
被攻击合约
0xE85aFCcDaFBE7F2B096f268e31ccE3da8dA2990A
#攻击流程
1.在aBNBc的最新一次升级后,项目方的私钥遭受泄露。攻击者使用项目方地址将合约实现修改为有漏洞的版本。
2.由攻击者更换的新合约实现中,0x3b3a5522函数的调用没有权限限制,任何人都可以调用此函数铸造代币给指定地址。
3.攻击者给自己铸造大量aBNBc代币,前往指定交易对中将其兑换为BNB和USDC。
4.攻击者共获利5500WBNB和534万USDC。
#受影响的其他项目:
由于Ankr的aBNBc代币和其他项目有交互,导致其他项目遭受攻击,下面是已知项目遭受攻击的分析。
Wombat项目:
由于AnkrStaking:aBNBcToken项目遭受私钥泄露攻击,导致增发了大量的aBNBc代币,从而影响了pair中的WBNB和aBNBc的价格,而Wombat项目池子中的WBNB和aBNBc兑换率约为1:1,导致套利者可以通过在pair中低价购买aBNBc,然后到Wombat项目的WBNB/aBNBc池子中换出WBNB,实现套利。目前套利地址共获利约200万美元,BeosinTrace将持续对被盗资金进行监控。
Helio_Money项目:
套利地址:
0x8d11f5b4d351396ce41813dce5a32962aa48e217
由于AnkrStaking:aBNBcToken项目遭受私钥泄露攻击,导致增发了大量的aBNBc代币,aBNBc和WBNB的交易对中,WBNB被掏空,WBNB价格升高。套利者首先使用10WBNB交换出超发后的大量aBNBc.之后将aBNBc交换为hBNB。以hBNB为抵押品在Helio_Money中进行借贷,借贷出约1644万HAY。之后将HAY交换为约1550万BUSD,价值接近1亿人民币。
#事件总结
针对本次事件,Beosin安全团队建议:1.项目的管理员权限最好交由多签钱包进行管理。2.项目方操作时,务必妥善保管私钥。3.项目上线前,建议选择专业的安全审计公司进行全面的安全审计,规避安全风险。
标签:UNINFTSWAPUniswapUniPlayTOPDOG Vault (NFTX)BullDogSwaplayer币和uniswap的关系
本文由Noah和roon共同撰写。roon是一家著名人工智能公司的研究员,他也在Twitter上发表幽默的推文。因为这是一篇联合文章,所以我们有时会用第三人称来指代我们中的一个.
原文:《UniswapNFT能行吗?》作者:quantumzebra123UniswapNFT上线已经两周了,现在是Uniswap主页上的四个选项之一.
周报概要: 1、上周NFT总交易额:134,490,707(美元)2、上周NFT总交易笔数:863,295金色财经挖矿数据播报:ETH今日全网算力上涨0.74%:金色财经报道.
1.Web3项目如何设计成熟的商业模式和代币经济?最近由FTX暴雷引发的加密市场崩溃揭示了Web3项目商业模式和代币设计的脆弱性.
来源|medium、Alchemy编译|Dali@iNFTnews.com11月24日,百事可乐公司宣布在Polygon上铸造全新NFT系列「PepsiBlackNFTCollection」.
1.钱包简介 钱包常称加密钱包或者数字钱包。在Web3的世界中,钱包不仅仅承担着传统意义上管理资产的功能,它还是一个在Web3世界中通行的必备工具.