DeFi 協議Ankr 自稱是第一個“節點即服務”(NaaS)平台,由於其代碼中允許無限創建其令牌的錯誤而遭到黑客攻擊並損失了數百萬美元。
安全公司PeckShield 表示,Ankr 的代碼允許任何用戶創建無限量的代幣而無需任何形式的驗證。利用這個漏洞,黑客創建了6 個千萬億的aBNBc 代幣。
創建硬幣後,犯罪分子將部分資產下載到基於幣安網絡(BNB 鏈)和Tornado Cash 的去中心化交易所– 一種混合加密的協議,用於使當局難以追踪它們。
攻擊者成功清算了PancakeSwap 和ApeSwap 平台上的aBNBc 代幣礦池,導致價格在幾分鐘內從300 美元跌至幾分之一美分。
來自CoinGecko 的數據顯示,在aBNBc 從PancakeSwap 和ApeSwap 的流動性礦池中耗儘後,aBNBc 失去了所有價值。
美國全國廣播公司
據PeckShield 的專家稱,黑客通過Helio 協議借出aBNBc 擔保的穩定幣HAY 中的資產,獲利約1500 萬美元。截至發稿時,與美元掛鉤的穩定幣價格下跌了61%。
Ankr 背後的開發者表示,他們正在與交易所合作以阻止aBNBc 代幣的交易。 “此時Ankr質押中的所有基礎資產都是安全的,所有基礎設施服務均不受影響,”他們補充道。
我們的aBNB 代幣已被利用,我們目前正在與交易所合作以立即停止交易。
– Ankr (@ankr) 2022 年12 月2 日
PeckShield 還透露,犯罪分子將價值約253,000 美元的約900 BNB 轉移到了Tornado Cash。此外,瀏覽器還將USDC 和ETH 發送到以太坊區塊鏈。據該公司稱,黑客現在有3,000 ETH 餘額和大約500,000 USDC 被盜。
區塊鏈安全公司Beosin 也談到了這一漏洞,稱這可能是由於智能合約代碼中的漏洞以及私鑰被盜所致。
根據Beosin 的說法,這些漏洞可能是由Ankr 進行的技術更新引起的。
我們的分析表明$aBNBc 代幣合約存在無限鑄幣漏洞。具體來說,雖然mint() 受onlyMinter 修飾符保護,但還有另一個函數(帶有0x3b3a5522 func.signature)完全繞過調用者驗證以獲得任意mint https://t.co/h51e7xpcVf pic.twitter.com/caRgasNNHq
-PeckShield Inc. (@peckshield) 2022 年 12 月 2 日
內部工作
智能合約開發人員BowTiedPickle 表示,這次攻擊要么是內部工作,要么是Ankr 部署者的私鑰被洩露造成的。
“他 [o黑客] 部署了一個攻擊合約,將可更新的aBNBc 合約更改為惡意實現,然後調用函數0x3b3a5522 在其錢包中鑄造10,000,000,000 個代幣,”開發人員說。
幣安首席執行官表示,在初步分析中,他發現開發者的私鑰被黑客攻擊,黑客更新智能合約以竊取資金。
“原來的智能合約看起來沒問題,但是黑客一拿到開發者的私鑰,就更新智能合約。” – 幣安首席執行官CZ 說。
這家全球最大的交易所已暫停取款,並凍結了黑客轉移到幣安的約300 萬美元。
可能對Ankr 和Hay 進行黑客攻擊。初步分析是開發者私鑰被盜,黑客將智能合約更新為更加惡意的合約。幾個小時前,幣安暫停了提款。同時凍結黑客轉移到我們CEX 的大約300 萬美元。
— CZ 🔶 幣安(@cz_binance) 2022 年12 月2 日
資訊來源:由0x資訊編譯自LIVECOINS。版權歸作者所有,未經許可,不得轉載