一、事件概覽
北京時間6月3日11時11分,鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示,BSC鏈上項目PancakeHunny遭遇黑客攻擊。據統計,此次攻擊事件中,黑客總共獲利43ETH。
面對又一起發生在BSC鏈上的項目被黑事件,成都鏈安·安全團隊針對PancakeHunny被黑事件進行跟蹤分析,以提醒BSC鏈上各大項目切實提高安全防范意識,警惕“黑色5月”陰云的持續籠罩?。
BSC Application Sidechain側鏈提案BEP-100已發布:2月12日消息,據BuildNBuild,BSC Application Sidechain側鏈提案BEP-100已發布,該提案的主要內容包括:側鏈可以選擇任何解決方案來搭建,但需要在BSC主鏈上完成注冊,并建立掛鉤代幣,同時掛鉤代幣的協議,允許側鏈與主鏈之間轉移代幣(中繼/銷毀/鑄造)。
BAS的鏈間交互標準是Celer的cBridge方案。具體跨鏈流程為:1、在BAS鏈合約中鎖定代幣;2、中繼器驗證確認;3、在BSC鑄造掛鉤代幣。目前BSC的貢獻者主要有超級節點Nodereal、驗證節點服務機構Ankr和跨鏈解決方案Celer Network,Nodereal和Ankr在節點運營方面有豐富經驗和技術儲備,而Celer Network則是這個BAS方案中跨鏈(掛鉤代幣)技術的提供者。[2022/2/12 9:47:29]
據了解,PancakeHunny是PancakeBunny的又一仿盤項目。在本次被黑事件中,黑客采取的攻擊手法大體上與此前攻擊PancakeBunny近似,均是在短時間內增發大量的代幣并拋向市場,并引起了HunnyToken幣價暴跌。
DOGE成為前1000個BSC錢包單日交易量最高的代幣:1月26日消息,WhaleStats數據顯示,今天Dogecoin(DOGE)成為幣安智能鏈上1000個最大的BSC錢包交易量最高的代幣。這些錢包最廣泛持有的代幣是ETH,按美元價值計算最大代幣頭寸是BTCB。(U.Today)[2022/1/26 9:14:48]
二、事件分析
成都鏈安·安全團隊針對被黑代碼展開跟蹤分析,根據已披露的線索和攻擊交易上來看,黑客主要是利用了HunnyMinter函數的設計缺陷進行了攻擊,如下圖所示:
Wario已于5月15日上線YouSwap(BSC):據官方最新消息,YouSwap已于5月15日01:30(UTC+8)上線WARIO-BNB,目前已添加10萬U+的流動性,上線以來上漲1000%,后續將在YouSwap開通流動性挖礦。[2021/5/15 22:06:06]
需要注意的是,mintFor函數用于將收取的手續費轉化為HunnyToken并返還給用戶;但在讀取需要轉換的手續費時,錯誤地使用了balanceOf做為參數,且在兌換HunnyToken時,使用的是固定兌換比例,這給了黑客發動攻擊的可乘之機。
黑客首先向hunnyMinter合約中打入了56個cake代幣;再同時調用CakeFilpValut合約中的getReward函數,間接觸發了hunnyMinter中的mintFor函數。
此時hunnyMinter合約中因存在黑客打入的cake,導致能夠兌換大量的HunnyToken;而此時的HunnyToken的價格,已經超過設定的固定值,這使得此處存在套利空間。后續黑客一直使用相同方法進行套利,直至項目方置零固定兌換比例hunnyPerProfitBNB。
三、事件復盤
不難看出,此次事件是又一次發生在BSC鏈上的仿盤項目的被黑事件。結合5月多起諸如Merlin、AutoSharkFinance等FORK項目被黑經歷來看,黑客針對BSC鏈上仿盤項目的攻擊態勢仍然在持續發酵。在此,成都鏈安提醒各大FORK項目尤其需要注重安全風險,加強安全防范工作,切勿懈怠。
同時,針對項目本身的開發和創新,我們建議開發者需要對原生項目進行深入理解,切勿一味地照搬和模仿;特別是在安全建設方面,在同步原生項目的安全防護策略之外,也需要聯動第三方安全公司的力量,建立一套獨立自主的安全風控體系,以應對各類突發的安全風險。
Tags:UNNBSCCAKEANCPOLYBUNNY幣fantom幣轉到BSC幣什么轉教程BPCAKE價格YearnAgnostic Finance
本文來自Glassnode,Odaily星球日報|Moni?2021年5月,在經歷了比特幣歷史上最具戲劇性的暴跌之后,投資者的信念開始受到考驗.
1900/1/1 0:00:00您好,加密貨幣愛好者!希望您會喜歡閱讀QDeFiRating和NOAH的ARK團隊的文章。訂閱我們的B站頻道,觀看實用的教程和精彩訪談,隨時在其中找到最新的DeFi排名和評論.
1900/1/1 0:00:00尊敬的用戶: WBF即將開放區掘金板塊上線CELO/USDT交易對,具體上線時間如下:交易時間:2021年6月2日?18:40 暫不開放充提.
1900/1/1 0:00:00尊敬的歐易OKEx用戶:歐易OKEx已經于2021年5月21日21:00(HKT)?發放KISHU當周持倉分紅及首周特別分紅.
1900/1/1 0:00:00親愛的用戶: “交易幣安合約,贏取官方限量版NFT”活動已結束,幣安已完成所有獎勵的分發,活動獎勵請在您填寫的BSC地址中查看並領取.
1900/1/1 0:00:00過去六周是比特幣歷史上最糟糕的時期之一。盡管比特幣這個世界上最有價值的加密貨幣僅僅存在了12年,但它經歷了相當多的陰郁日子和劇烈的價格波動.
1900/1/1 0:00:00