aBNBcがハッカーの攻撃を受け、増発関数の脆弱性によりトークンが大きな下落を引き起こした

12月2日、ある研究所がオンチェーンデータの監視を通じてaBNBcプロジェクトがハッカー攻撃を受け、大規模なトークン増発取引が発生したことを発見しました。ハッカーは大量のaBNBcトークンを成功裏に増発し、一部は分散化取引プラットフォームでBNBに交換され、残りはウォレットに保管されました。さらに、ハッカーは混合コインツールを利用して資金移動を行いました。この攻撃事件はaBNBcトークンの流動性プールを枯渇させ、通貨価格は大きな下落を見せました。同時に、攻撃者は増発されたトークンを利用して抵当貸付を行い、貸付プラットフォームに損失を与えました。

! Ankrのハッキング事件のオンチェーン分析:10兆aBNBcの追加発行はどこから来たのか?

複数の取引データを分析した結果、呼び出し元アドレスは異なるものの、すべてトークンの増発を引き起こしていることが判明しました。プロジェクトは攻撃を受ける前に契約のアップグレードを行っており、アップグレード後のロジック契約には増発関数の権限検査が欠けていました。

! Ankrのハッキング事件のオンチェーン分析:10兆aBNBcの追加発行はどこから来たのか?

攻撃者はプロキシコントラクトを通じてロジックコントラクトの特定の関数を呼び出しましたが、その関数は権限チェックを行っていなかったため、aBNBcトークンが大量に増発されました。攻撃を受けた後、プロジェクトチームはロジックコントラクトを再度更新し、新しいバージョンでは増発関数に権限検査メカニズムを追加しました。

! Ankrのハッキング事件のオンチェーン分析:10兆aBNBcの追加発行はどこから来たのか?

現在、ハッカーは一部の増発されたaBNBcをBNBに交換し、移動させましたが、大量の残りのaBNBcは依然として攻撃者のウォレットに滞留しています。

! Ankrのハッキング事件のオンチェーン分析:10兆aBNBcの追加発行はどこから来たのか?

今回の攻撃は主に契約のアップグレード時に、新しいロジック契約内の増発関数に権限検査が欠如していたため、ハッカーが自由にトークンを増発できたことに起因しています。現在、セキュリティ監査やテストを受けていない契約コードが使用されたのか、または秘密鍵の漏洩によりハッカーが自ら契約をアップグレードしたのかは不明です。

この事件は、ユーザーとプロジェクトチームに対して、ウォレットの秘密鍵とリカバリーフレーズを適切に保管し、安易に保管しないよう警告しています。また、契約のアップグレードを行う際には、同様のリスクを防ぐために、徹底的なセキュリティテストを実施する必要があります。