一文盘点 Ankr 攻击事件时间轴 已启动赔付

更新：12 月 8 日，Ankr 官方宣布今日开始向所有 aBNBc 和 aBNBb 持有者空投 ankrBNB（仅限钱包，不包括持有这些 Token 的智能合约），通过智能合约持有 aBNBc 和 aBNBb 的用户有望在明天收到空投。Ankr 目前已锁定 ankrBNB 的可转让性以确保公平启动，预计在周五晚上 (PST) 前解锁。 公告表示，在漏洞利用前赎回 aBNBc 或 aBNBb（取消质押）的用户将在解绑期结束时收到 BNB。在漏洞利用后赎回 aBNBc 或 aBNBb 的用户将不会在解除绑定期结束时收到 BNB，并将获得 ankrBNB 空投。

12 月 2 日 08:43 左右，黑客利用 Ankr 的部署私钥，铸造了 10 万亿枚 aBNBc Token，并随后将通过多步兑换操作，将 aBNBc 兑换为 USDC 并跨链接入以太坊网络 Celer Network 和 Multichain，最后再将全部 4,684,156 枚 USDC 兑换为 3,446 枚 ETH，获利约 500 万美元。
09:45 左右，一套利用户用 10 BNB 购买了超过 18 万枚 aBNBc，并在借贷平台 helio 抵押 aBNBc 借出超过 1600 万枚稳定币 HAY。套利者将 Hay 出售为超 1500 万枚 BUSD，Hay 流动性池被掏空，HAY 价格一度严重脱锚跌至 0.21 美元。
10:24 左右，Ankr 在推特上确认部署私钥被盗消息，并表示已积极与 DEX 对接告知交易平台阻止相关交易，并保证了Ankr Staking 的所有底层资产都是安全的，所有基础设施服务不受影响，同时提示用户不要进行相关交易、移除 LP 等，官方将进行快照并将重新发行 aBNBc。
18:25 左右，Ankr 官方在评估相关损失后，宣布了初版解决方案：重新发行 ankrBNB 分发给所有有效的 aBNBc 持有者，快照时间为被盗之前；同时还将购买 500 万美元的 BNB 用以补偿在被盗事件中受影响的 LP。
12 月 3 日 12:07 左右，针对 Helio 套利导致 HAY 脱钩事宜，Ankr 与 Helio 协商后，表示 Ankr 将在 24 小时内购入 HAY 以帮助其恢复锚定，不过 Helio 事后表示恢复锚定这个过程可能需要进行延长。
目前币安已冻结黑客转移至交易平台的约 300 万美元，攻击者地址也已列入了 BNB Chain 黑名单。面对已实现的 500 万美元相关 LP 亏损以及 Helio 高达 1500 万美元的坏账，Ankr 表示将从1500 万美金的恢复基金中调用资金来补偿在此次攻击事件中 BNB 流动性提供者、BNB 借贷者以及 HAY 用户的损失。
针对本次事件，安全团队建议：项目的管理员权限最好交由多签钱包进行管理，提高项目内部人员安全意识，避免管理员被黑客通过钓鱼等其他攻击手法获取密钥。提高项目内部人员安全意识，避免管理员被黑客通过钓鱼等其他攻击手法获取密钥。项目在转移或者合约修改过程中需要安全保存管理员密钥，避免出现管理者之外的人员发现密钥