ANC:BSC链上项目再遭黑客攻击 PancakeHunny被黑事件简析

一、事件概览

北京时间6月3日11时11分,链必安-区块链安全态势感知平台舆情监测显示,BSC链上项目PancakeHunny遭遇黑客攻击。据统计,此次攻击事件中,黑客总共获利43ETH。

面对又一起发生在BSC链上的项目被黑事件,成都链安·安全团队第一时间启动安全应急响应,针对PancakeHunny被黑事件进行跟踪分析,以提醒BSC链上各大项目切实提高安全防范意识,警惕“黑色5月”阴云的持续笼罩。

据了解,PancakeHunny是PancakeBunny的又一仿盘项目。在本次被黑事件中,黑客采取的攻击手法大体上与此前攻击PancakeBunny近似,均是在短时间内增发大量的代币并抛向市场,并引起了HunnyToken币价暴跌。

BSC上收益聚合器Eleven Finance与Nerve相关的机池遭闪电贷攻击:基于币安智能链(BSC)的稳定币交易平台 Nerve Finance 发推表示,收益聚合器 Eleven Finance 中与 Nerve 相关的机池或遭闪电贷攻击。Nerve Finance 团队表示,Nerve Finance 资金安全。[2021/6/23 23:58:45]

二、事件分析

成都链安·安全团队针对被黑代码展开跟踪分析,根据已披露的线索和攻击交易上来看,黑客主要是利用了HunnyMinter函数的设计缺陷进行了攻击,如下图所示:

CoinWind BSC链锁仓量突破15亿美金:据CoinWind官方数据显示,截止今日10:30,DeFi智能高收益挖矿金融平台CoinWind在币安智能链BSC锁仓量突破15亿美金,火币生态链HECO和币安智能链BSC的双链总锁仓量突破32亿美金,为用户创造的总收益突破9900万美金。

据了解,CoinWind是一个DeFi智能挖矿金融平台,通过合约自动将质押的币种进行撮合配对,配合对冲无常损失策略,将用户收益最大化,有效解决了用户单币种挖矿收益低、LP挖矿无常损失大等风险问题。[2021/5/12 21:51:53]

BSCX(LaunchZone)将上线MXC抹茶,并开启新币挖矿:据官方公告,4月7日16:00,BSCX(LaunchZone)将上线MXC抹茶创新区,开放USDT交易,充值、提现已开启。4月5日—8日,用户还可于网页端,或APP首页中部“MX DeFi”处,使用USDT、MX、BTC、ETH挖矿BSCX。目前,新币挖矿已开启。资料显示,LaunchZone是运行在币安智能链 (BSC) 上的DeFi应用,持有BSCX的用户可参与流动性挖矿、IDO(LaunchpadX)以及LaunchZone生态系统等链上应用。[2021/4/5 19:47:02]

需要注意的是,mintFor函数用于将收取的手续费转化为HunnyToken并返还给用户;但在读取需要转换的手续费时,错误地使用了balanceOf做为参数,且在兑换HunnyToken时,使用的是固定兑换比例,这给了黑客发动攻击的可乘之机。

黑客首先向hunnyMinter合约中打入了56个cake代币;再同时调用CakeFilpValut合约中的getReward函数,间接触发了hunnyMinter中的mintFor函数。

此时hunnyMinter合约中因存在黑客打入的cake,导致能够兑换大量的HunnyToken;而此时的HunnyToken的价格,已经超过设定的固定值,这使得此处存在套利空间。后续黑客一直使用相同方法进行套利,直至项目方置零固定兑换比例hunnyPerProfitBNB。

三、事件复盘

不难看出,此次事件是又一次发生在BSC链上的仿盘项目的被黑事件。结合5月多起诸如Merlin、AutoSharkFinance等FORK项目被黑经历来看,黑客针对BSC链上仿盘项目的攻击态势仍然在持续发酵。在此,成都链安提醒各大FORK项目尤其需要注重安全风险,加强安全防范工作,切勿懈怠。

同时,针对项目本身的开发和创新,我们建议开发者需要对原生项目进行深入理解,切勿一味地照搬和模仿;特别是在安全建设方面,在同步原生项目的安全防护策略之外,也需要联动第三方安全公司的力量,建立一套独立自主的安全风控体系,以应对各类突发的安全风险。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

区块链COI:在这个周末,比特币未能如人愿般休息

上周四,比特币反弹至4万美元/枚,令市场情绪好转。在这个周末前,灰度CEOBarrySilbert通过推特表达了自己对比特币的看法,希望比特币能在这个双休日休息一下,但事实未能如愿,比特币在这个.

[0:15ms0-1:67ms