ANKR & HELIO - 翻车

18万亿美元。

这就是今天早些时候在Ankr非法铸造的60万亿aBNBc的账面价值。

不幸的是，这比整个世界的GDP还要多，而aBNBc的流动性没有这么多，所以黑客只带走了500万美元。

Ankr的官方公告指出，相关的抵押资产是安全的，并且公告同时向用户承诺，将通过快照"重新发行aBNBc"。

但损失并没有就此停止...

信息来源：BlockSec, Peckshield

aBNBc是通过BSC上的Ankr平台为BNB质押者提供的奖励性收据代币。

该漏洞是由于BSC上Ankr部署者地址的私钥被盗取，可能是钓鱼活动导致的。

被攻击的部署者账户发布了一个恶意版本的aBNBc代币合约，然后升级以取代现有版本。升级后的版本包括一个新的函数（0x3b3a5522），允许黑客绕过调用者验证，自由地铸造代币，直接发送到他们自己的地址。

黑客的地址：0xf3a465c9fa6663ff50794c698f600faa4b05c777

(被攻击的)Ankr部署者的地址：0x2ffc59d32a524611bb891cab759112a51f9e33c0

攻击实例(将aBNBc铸造到黑客钱包)：0xe367d05e...

从被攻击的部署者那里为黑客的钱包提供资金：0xeb617798...

尽管铸造了大量的代币，但由于缺乏链上流动性，在耗尽PancakeSwap的aBNB池后，黑客的利润仅有500万美元。大部分收益跨链到以太坊，黑客正在通过Tornado Cash进行洗钱。

随着可公开赎回的无限铸币消息传出，效仿者纷至沓来。在现在一文不值的aBNBc的最大持有者中，可以看到他们中的许多人。

然而，一些人确实找到了获利的方法，一个账户比最初的黑客多赚了3倍，然而，快速的时间和最近的地址资金表明，这可能是同一个人所为。

通过从PancakeSwap购买大量被攻击的aBNB，这个地址将代币转移到稳定币项目Helio Money。

在预言机更新以反映价格崩溃之前，该用户用aBNBc作为抵押品借了1600万HAY，获利1550万美元。另一个用户通过同样的方法获利，赚取了大约350万美元。

这些攻击导致HAY脱锚（在撰写本文时为0.62美元），但该项目已向其用户保证，他们将获得赔偿。

Peckshield和Beosin的审计都指出了特权账户对Ankr的智能合约构成危险，并分别被标记为"已确认"和"已承认"。

然而，Ankr并没有采取措施来修复这些问题。

现在他们已经付出了代价，Helios陷入了更大的连带损失。

CZ在推特上发表了以下总结：

"Ankr和Hay可能受到黑客攻击。初步分析是开发者私钥被黑，黑客将智能合约更新为更恶意的合约。Binance在几小时前暂停了提款。还冻结了黑客转移到我们交易所的大约300万美元。"

CZ是否试图成为加密货币的新主角？

应该有人提醒他，这个角色从来没有好下场......

REKT作为匿名作者的公共平台，我们对REKT上托管的观点或内容不承担任何责任。

捐赠 (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

声明:

REKT对我们网站上发布的或与我们的服务相关的任何内容不承担任何责任，无论是由我们网站的匿名作者，还是由 REKT发布或引起的。虽然我们为匿名作者的行为和发文设置规则，我们不控制也不对匿名作者在我们的网站或服务上发布、传输或分享的内容负责，也不对您在我们的网站或服务上可能遇到的任何冒犯性、不适当、淫秽、非法或其他令人反感的内容负责。REKT不对我们网站或服务的任何用户的线上或线下行为负责。