更新:12 月8 日,Ankr 官方宣布今日開始向所有aBNBc 和aBNBb 持有者空投ankrBNB(僅限錢包,不包括持有這些Token 的智能合約),通過智能合約持有aBNBc 和aBNBb 的用戶有望在明天收到空投。 Ankr 目前已鎖定ankrBNB 的可轉讓性以確保公平啟動,預計在周五晚上(PST) 前解鎖。公告表示,在漏洞利用前贖回aBNBc 或aBNBb(取消質押)的用戶將在解綁期結束時收到BNB。在漏洞利用後贖回aBNBc 或aBNBb 的用戶將不會在解除綁定期結束時收到BNB,並將獲得ankrBNB 空投。
12 月2 日08:43 左右,黑客利用Ankr 的部署私鑰,鑄造了10 萬億枚aBNBc Token,並隨後將通過多步兌換操作,將aBNBc 兌換為USDC 並跨鏈接入以太坊網絡Celer Network 和Multichain,最後再將全部4,684,156 枚USDC 兌換為3,446 枚ETH,獲利約500 萬美元。
09:45 左右,一套利用戶用10 BNB 購買了超過18 萬枚aBNBc,並在藉貸平台helio 抵押aBNBc 借出超過1600 萬枚穩定幣HAY。套利者將Hay 出售為超1500 萬枚BUSD,Hay 流動性池被掏空,HAY 價格一度嚴重脫錨跌至0.21 美元。
10:24 左右,Ankr 在推特上確認部署私鑰被盜消息,並表示已積極與DEX 對接告知交易平台阻止相關交易,並保證了Ankr Staking 的所有底層資產都是安全的,所有基礎設施服務不受影響,同時提示用戶不要進行相關交易、移除LP 等,官方將進行快照並將重新發行aBNBc。
18:25 左右,Ankr 官方在評估相關損失後,宣布了初版解決方案:重新發行ankrBNB 分發給所有有效的aBNBc 持有者,快照時間為被盜之前;同時還將購買500 萬美元的BNB 用以補償在被盜事件中受影響的LP。
12 月3 日12:07 左右,針對Helio 套利導致HAY 脫鉤事宜,Ankr 與Helio 協商後,表示Ankr 將在24 小時內購入HAY 以幫助其恢復錨定,不過Helio 事後表示恢復錨定這個過程可能需要進行延長。
目前幣安已凍結黑客轉移至交易平台的約300 萬美元,攻擊者地址也已列入了BNB Chain 黑名單。面對已實現的500 萬美元相關LP 虧損以及Helio 高達1500 萬美元的壞賬,Ankr 表示將從1500 萬美金的恢復基金中調用資金來補償在此次攻擊事件中BNB 流動性提供者、BNB 借貸者以及HAY 用戶的損失。
針對本次事件,安全團隊建議:項目的管理員權限最好交由多簽錢包進行管理,提高項目內部人員安全意識,避免管理員被黑客通過釣魚等其他攻擊手法獲取密鑰。提高項目內部人員安全意識,避免管理員被黑客通過釣魚等其他攻擊手法獲取密鑰。項目在轉移或者合約修改過程中需要安全保存管理員密鑰,避免出現管理者之外的人員發現密鑰