This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
aBNBcがハッカーの攻撃を受け、契約のアップグレードの不備により大量のトークンが不正に増発されました。
12月2日、ある実験室がオンチェーンデータの監視を通じてaBNBcプロジェクトがハッカーによる侵入を受け、大量のaBNBcトークンが違法に増発されたことを発見しました。ハッカーは増発されたトークンの一部をDEXでBNBに交換し、もう一部はウォレットに保管しました。さらに、攻撃者はこれらの違法に増発されたトークンを利用して担保貸付を行い、貸付プラットフォームに損失を与えました。この事件によりaBNBcトークンの流動性は深刻に不足し、価格が大幅に下落しました。
! Ankrのハッキング事件のオンチェーン分析:10兆aBNBcの追加発行はどこから来たのか?
複数の取引データを分析することにより、研究者は呼び出しアドレスが異なっていても、トークンの増発を引き起こすことを発見しました。さらなる調査では、プロジェクトが攻撃を受ける前に契約のアップグレードを行っており、アップグレード後のロジック契約において増発関数が必要な権限チェックを欠いていることが明らかになりました。
! Ankrのハッキング事件のオンチェーン分析:10兆aBNBcの追加発行はどこから来たのか?
ハッカーはプロキシコントラクトを通じてロジックコントラクト内の特定の関数を呼び出しましたが、その関数は権限検証を行っていなかったため、aBNBcトークンの不正発行に成功しました。
攻撃を受けた後、プロジェクトチームはすぐにロジックコントラクトを更新し、新しいバージョンでは増発関数に権限検証メカニズムを追加しました。
! Ankrのハッキング事件のオンチェーン分析:10兆aBNBcの追加発行はどこから来たのか?
資金の流れに関して、ハッカーは一部の増発されたaBNBcをBNBに交換し、移動させましたが、大量のaBNBcは依然としてそのウォレットに留まっています。
! Ankrのハッキング事件のオンチェーン分析:10兆aBNBcの追加発行はどこから来たのか?
全体的に見て、この攻撃は主に契約のアップグレードプロセスにおける不注意から発生しました。つまり、新しいロジック契約内の増発関数に必要な権限検査が欠如していました。現在のところ、これは安全監査およびテストを受けていない契約コードの使用によるのか、またはハッカーが契約を自らアップグレードできるように私鍵が漏洩したためかは不明です。いずれにせよ、この事件はウォレットの私鍵とリカバリーフレーズを適切に保管することの重要性、ならびに契約のアップグレードを行う際の包括的なセキュリティテストの必要性を再度強調しています。