一文盘点 Ankr 攻击事件时间轴 已启动赔付

更新：12 月 8 日，Ankr 官方宣布今日开始向所有 aBNBc 和 aBNBb 持有者空投 ankrBNB（仅限钱包，不包括持有这些 Token 的智能合约），通过智能合约持有 aBNBc 和 aBNBb 的用户有望在明天收到空投。Ankr 目前已锁定 ankrBNB 的可转让性以确保公平启动，预计在周五晚上 (PST) 前解锁。 公告表示，在漏洞利用前赎回 aBNBc 或 aBNBb（取消质押）的用户将在解绑期结束时收到 BNB。在漏洞利用后赎回 aBNBc 或 aBNBb 的用户将不会在解除绑定期结束时收到 BNB，并将获得 ankrBNB 空投。

12 月 2 日 08:43 左右，黑客利用 Ankr 的部署私钥，铸造了 10 万亿枚 aBNBc Token，并随后将通过多步兑换操作，将 aBNBc 兑换为 USDC 并跨链接入以太坊网络 Celer Network 和 Multichain，最后再将全部 4,684,156 枚 USDC 兑换为 3,446 枚 ETH，获利约 500 万美元。09:45 左右，一套利用户用 10 BNB 购买了超过 18 万枚 aBNBc，并在借贷平台 helio 抵押 aBNBc 借出超过 1600 万枚稳定币 HAY。套利者将 Hay 出售为超 1500 万枚 BUSD，Hay 流动性池被掏空，HAY 价格一度严重脱锚跌至 0.21 美元。10:24 左右，Ankr 在推特上确认部署私钥被盗消息，并表示已积极与 DEX 对接告知交易平台阻止相关交易，并保证了Ankr Staking 的所有底层资产都是安全的，所有基础设施服务不受影响，同时提示用户不要进行相关交易、移除 LP 等，官方将进行快照并将重新发行 aBNBc。18:25 左右，Ankr 官方在评估相关损失后，宣布了初版解决方案：重新发行 ankrBNB 分发给所有有效的 aBNBc 持有者，快照时间为被盗之前；同时还将购买 500 万美元的 BNB 用以补偿在被盗事件中受影响的 LP。12 月 3 日 12:07 左右，针对 Helio 套利导致 HAY 脱钩事宜，Ankr 与 Helio 协商后，表示 Ankr 将在 24 小时内购入 HAY 以帮助其恢复锚定，不过 Helio 事后表示恢复锚定这个过程可能需要进行延长。目前币安已冻结黑客转移至交易平台的约 300 万美元，攻击者地址也已列入了 BNB Chain 黑名单。面对已实现的 500 万美元相关 LP 亏损以及 Helio 高达 1500 万美元的坏账，Ankr 表示将从1500 万美金的恢复基金中调用资金来补偿在此次攻击事件中 BNB 流动性提供者、BNB 借贷者以及 HAY 用户的损失。针对本次事件，安全团队建议：项目的管理员权限最好交由多签钱包进行管理，提高项目内部人员安全意识，避免管理员被黑客通过钓鱼等其他攻击手法获取密钥。提高项目内部人员安全意识，避免管理员被黑客通过钓鱼等其他攻击手法获取密钥。项目在转移或者合约修改过程中需要安全保存管理员密钥，避免出现管理者之外的人员发现密钥