根據 Lookonchain 今早（2 日）的推文，Web3 基礎設施供應商 Ankr 合約部署者私鑰洩漏遭駭客利用，駭客鑄造了 10 兆顆 aBNBc 代幣並發送到自己的地址（被標記為 Ankr Exploiter）。然後他透過控制該私鑰，將 1.125 顆 BNB 轉到該地址作為 gas 費之後，開始在去中心化交易所 PancakeSwap 上大量拋售 aBNBc。

註：aBNBc 代幣是用戶將 BNB 質押到 Ankr 後所得到的質押憑證代幣。

駭客將 10 兆顆 aBNBc 兌換成 4,050,500 顆 USDC 和 5,000 顆 BNB（約價值 150 萬美元）之後存入混幣器協議 Tornado Cash，然後透過兩個跨鏈協議 Celer Network 和 Multichain 將 4,684,156 顆 USDC 從 BNB Chain 跨鏈轉移到以太坊鏈（地址），並換成 3,446 顆以太幣（ETH），也有部分資金轉移至其它鏈上。

PancakeSwap 上與 aBNBc 相關的資金池流動性因此耗盡，駭客也停止拋售 aBNBc，該代幣價值已趨近於零。

Ankr 後續推文坦承 aBNB 代幣遭駭客利用，目前正與交易所合作以立即停止交易，並稱 Ankr Staking 上的所有底層資產都是安全的，所有基礎設施服務不受影響。

資安公司 Peck Shield 推文表示，其分析顯示 aBNBc 代幣合約存在無限鑄造漏洞，駭客能利用此漏洞繞過調用者驗證以獲得任意鑄造權限。

更新（2022 年 12 月 2 日 13：31）：

區塊鏈安全公司 CertiK 統整了本次駭客的資金流向，駭客將 10 兆 aBNB 部分兌換成 5,500 顆 BNB 和 534 萬顆 USDC（總計約 700 萬美元），還有其它資金透過 Tornado Cash 和跨鏈橋轉移至其它鏈上，資金流向如下：