Ankr进行的攻击。 利用协议奖励了 20 万亿 a BNB
Ankr 奖励轴承质押BNB (a BNB c)是一种奖励轴承代币,这意味着其数量从质押那一刻起就保持不变。 由于奖励积累,代币随着赎回率的增加而升值。
Ankr 在Binance链上推出了该代币,作为 Ankr 上的流动性质押功能。 BNB质押在智能合约上来trac,并获得BNB c 作为质押证明。
追逐 a BNB c 资金轨迹
据Lookonchain,攻击者从 Ankr 部署者那里窃取了密钥,并铸造了 10 万亿个BNB c 并发送给自己。 随后,他将 1.125 BNB该地址以支付汽油费,并开始转储被盗的代币。
攻击者再次利用该合约trac铸造了 10 万亿个代币。 攻击结束后,攻击者开始通过 Tornado cashBNB和Ethereum。
Tornado Cash是一种去中心化、开源的智能trac,它提供与其他加密货币资金一起清洗“受污染”的加密货币资金的服务,以掩盖资金来源。
攻击者还将盗取的资金转入Helio Money; 他利用这些资金作为抵押品借入了 1600 万美元的 HAY,随后以 1550 万美元的 BUSD 价格出售。 攻击者多次重复类似的交易,将 $HAY 出售为BNB 。
Lookonchain 价值 1600 万美元的 HAY 漏洞利用分析。
Peckshield 安全公司透露 Ankrtrac的铸币功能存在缺陷。 嵌入trac中的 w/0x3b3a5522 函数签名可以绕过 OnlyMinter 函数并进行任意铸造。
Peckshield 还指出,攻击者通过 Celer 和 de BridgeGate 将资金转移到Ethereum和 Tornadocash。
Ankr 在 Twitter 上做出反应,承认遭到黑客攻击,并迅速通知交易所停止代币交易。 他们建议社区避免交易代币,从交易所撤回流动性,并引用了新代币的发行。 此举将使被盗代币变得毫无价值。
Peckshield 注意到了 mint 函数的多个漏洞。
攻击者仍然高度活跃; 区块链统计数据表明,剥削者还烧毁了数十亿枚代币。
据 Peckshield 称,一些漏洞利用者将USDC 和 BUSD 从漏洞中转移到了Binance安交易所。 流入Binance总额约为 1900 万美元。
Binance首席执行官赵长刚 (CZ) 早些时候承认了这些漏洞,并指出,漏洞利用者转移到Binance300 万美元资金被冻结,提款暂停。 他指出,攻击者成功窃取了trac的私钥。
Ankr 协议漏洞的影响
格林威治标准时间凌晨 2:00,利用该漏洞后, BNB c 价格下跌了 99%。 到目前为止,各个交易所的交易已暂停,Ankr 团队正在努力解决问题并向受影响的交易者退款。
该漏洞影响了稳定币 HAY,在过去 24 小时内下跌了 35%,交易价格为 0.6434 美元。 在高峰时,它跌至 0.2113 美元。
Ankr 的交易价格为 0.02168 美元,在过去 24 小时内下跌了 3.93 美元。 BNB保持相对稳定,交易价格为 290.4 美元。
随着事态的发展,我们可以预期有关各方会不断更新情况。 Binance和 Ankr 正在密切关注此案; Binance可能会冻结转移到其交易所的资金,而分析师将把被盗资金指定给trac King。
Ankr 协议与 2022 年一系列其他DeFi漏洞一样。根据分析DeFi的数量创历史新高,迄今为止已损失了超过 8 亿美元的投资者资金。