基礎設施協議Ankr遭攻擊!aBNBc流通量突破數千兆,穩定幣HAY遭波及脫鉤
BNB 鏈上基礎設施協議 Ankr 今日受到駭客惡意攻擊,導致 aBNBc 代幣價格歸零。此事件也波及到 BNB 上的穩定幣協議 Helio,其推出的超額抵押穩定幣 HAY 一度脫鉤治 0.2 美元,至今尚未恢復。
Ankr 遭駭,BNB 質押憑證 aBNBc 遭大量鑄造
資安公司派盾於今日上午警告 Ankr 遭到駭客攻擊,多到數不清的 aBNBc 代幣被無限鑄造,並透過 PancakeSwap 等 DEX 換成 USDC、BUSD 及 BNB 等代幣。除了導致 aBNBc 的幣價下跌 99% 外,PancakeSwap 上相關流動性池的流動性也幾乎歸零。
註:用戶在 Ankr 上質押 BNB 後,能獲得一個 aBNBc 的質押憑證。
廣告 - 內文未完請往下捲動
在將 aBNBc 轉換為其他代幣後,派盾表示駭客透過混幣協議 Tornado Cash 進行洗錢,並透過跨鏈橋 (Multichain 及 CelerNetwork) 將代幣跨鏈至以太坊,駭客當前共持有 3,000 顆 ETH 及 50 萬顆 USDC。
#PeckShieldAlert Ankr Exploiter has transferred 900 $BNB (~$253k) into Tornado Cash & bridged $USDC & $ETH to Ethereum, the exploiter currently holds 3k $ETH (~$3.8M) & 500k $USDC
Ankr Exploiter currently holds 19,999,999,972,926 $aBNBc & becomes the 13th largest holder of $aBNBc pic.twitter.com/TioTnuFqbP— PeckShieldAlert (@PeckShieldAlert) December 2, 2022
關於事發原因,幣安執行長 CZ 表示,初步分析是因為 Ankr 部署者的私鑰被駭,駭客將智能合約升級成惡意合約。而派盾在分析過 Ankr 的合約代碼後,表示 aBNBc 的合約有無限著鑄造的 Bug,使攻擊者可以任意鑄造。
Possible hacks on Ankr and Hay. Initial analysis is developer private key was hacked, and the hacker updated the smart contract to a more malicious one. Binance paused withdrawals a few hrs ago. Also froze about $3m that hackers move to our CEX.
— CZ 🔶 BNB (@cz_binance) December 2, 2022
此 Bug 當前已被許多惡意人士利用,根據 BscScan 的數據,aBNBc 價格已歸零,流通量也達到數不清的天文數字。
Ankr 官方回應
在 aBNBc 代幣遭攻擊後,Ankr 官方持續對事情做出回應,其表示正與交易所聯繫以停止交易,且在 Ankr 上質押的標的資產皆安全無虞,基礎設施服務也未受影響。
Ankr 官方呼籲不要再進行交易,並請流動性提供者將代幣從池子取出,不過要保留 aBNBc。官方已經進行快照,未來會重新發行 aBNBc。
Our aBNB token has been exploited, and we are currently working with exchanges to immediately halt trading.
— Ankr (@ankr) December 2, 2022
發災難財,用戶用 10 BNB 套出 1,500 萬美元
在 aBNBc 漏洞遭利用時,媒體吳說區塊鏈發現用有用戶利用預言機價格問題,套利了 1,500 萬美元,以下為操作流程:
- 因為 aBNBc 價格崩跌,用 10 BNB 於 1inch 上兌換出約 18.4 萬顆 aBNBc。
- 將 aBNBc 存入 BNB 鏈上的穩定幣協議 Helio,並獲得 hBNB 存款憑證。
- 將 hBNB 存入 Helio 後,借出約 1,644 萬顆的 HAY。
- 將所有 HAY 於 1inch 上兌換成 BUSD,獲利約 1,550 萬美元。
註:HAY 是由 Helio 推出的超額抵押穩定幣,機制類似於以太坊上的 DAI。
由於 HAY 於 1inch 上大量拋售,價格一度下跌至 0.2 美元,當前仍處於脫鉤狀態,截稿前價格為 0.67 美元。
事情發生後,Helio 官方也做出回應,其表示用戶資產是安全的,但需先暫停 Helio 的所有功能。Helio 團隊當前正與 Ankr 商討aBNBc的重啟方案,並承諾會對此事件受損的用戶進行補償。
https://twitter.com/Helio_Money/status/1598586215275630593
Ankr 補償方案 (12/2 晚間更新)
Ankr 團隊在評估後表示損失至多 500 萬美元,出自於流動性池中的 BNB。為了補償因流動性池耗盡而受到影響的流動性提供者,Ankr 將購買價值 500 萬美元的 BNB 進行補償。
此外,Ankr 將進行快照,以向遭攻擊前的 aBNBc 持有者重新發行 ankrBNB。未來 ankrBNB 代幣可繼續用於贖回,然而 aBNBc 及 aBNBb 將無法贖回。
The team at Ankr has assessed the damage and it is max 5M USD worth of BNB from the liquidity pools.
We are currently working hard to resolve this issue efficiently and we would like to propose the following to address the current situation:
— Ankr (@ankr) December 2, 2022
