获利1500万成本仅数千元,套利者竟比黑客还赚钱,身份可疑?

作者 | Terry

12 月 2 日,加密基础设施提供「Ankr」的 aBNBc Token(BNB 封装资产)合约因存在无限铸造Token漏洞而被攻击,攻击者铸造了大量 aBNBc Token后卖出,导致 aBNBc 价格几近归零,很多用户都没有及时获知消息从而止损。

与此同时,更有敏锐度高的黑客第一时间进行套利,利用 10 BNB 兑换 aBNBc,通过借代协议 Helio 套利超 1550 万美元。

01
Ankr 攻击事件复盘

如果复盘此次 Ankr 攻击事件,会发现其中大幅获利的主要分为两个角色:

一是最直接地就是黑客直接利用合约漏洞,凭空铸造大量 aBNBc 并砸盘获利;

二是有嗅觉敏锐的链上用户趁 aBNBc 二级市场价格剧烈波动,利用预言机喂价不及时的 Bug 在借代协议抵押套利(也不排是攻击者本人所为)。

首先,Ankr 或因部署密钥丢失,导致被攻击者抓住合约漏洞,凭空铸造出 10 万亿枚 aBNBc。

然后攻击者将 aBNBc 通过 PancakeSwap 兑换为 500 万枚 USDC ,导致交易池几乎被掏空,aBNBc 被砸到接近归零,随后攻击者将资产跨到以太坊,并转入 Tornado Cash。

与此同时,黑客铸造Token之后的约半小时,aBNBc 暴跌,产生了套利机会——套利者利用借代协议 Helio 的预言机喂价是采用 6 小时平均加时权重的设置,利用 aBNBc 在市场上和在 Helio 系统中的价差将其换成 hBNB,并将 hBNB 质押换出稳定币 HAY ,并将其换成 BNB 和 USDC。

套利者此举总共套出超过 1500 万美元等值的稳定币和 BNB,基本掏空 hay 的交易对池子,随后将套出的 BUSD 和 BNB 转入Binance。

从这个角度看,攻击者获利的原因是 Ankr 的 aBNBc 智能合约自身存在漏洞,而套利者获利的原因则是 Helio 协议显然存在预言机喂价问题,其嗅觉敏锐第一时间抓住了这个套利机会。

而且套利者(1700 万美元)明显比直接的攻击(500 万美元)获利更丰,所以推特用户 rick awsb 复盘时也表示,攻击者如果直接用套利的方式,先套 hay 的利,再卖 aBNBc,则可以至少多赚 1500 万美元,当然,如果黑客和套利者是同一人,则可以解释这个疑问。

02
DeFi 世界的「预言机攻击」

其实这种「预言机攻击」导致的 DeFi 损失,在 2020 年就已经屡见不鲜,其中最早的典型按理应该可以追溯到 bZx 协议(现已更名为 Ooki)。

2020 年 2 月 15 日,某位攻击者也是利用 bZx 的借代等功能,在一个以太坊区块时间内(不足 15 秒),充分利用 DeFi 乐高——5 个 DeFi 产品之间(dydx、Compound、bZx、Uniswap、kyber)互相的合约调用,在未曾动用自有资金的前提下,一环紧套一环,最终通过在漏洞间操纵价格,成功套利上千枚以太坊。

本资讯链接: - 链补手
声明:投资有风险,入市须谨慎。本资讯不作为投资理财建议。