北京时间6月3日11时11分,链必安-区块链安全态势感知平台(Beosin-Eagle Eye)舆情监测显示,BSC链上项目PancakeHunny遭遇黑客攻击。据统计,此次攻击事件中,黑客总共获利43ETH(合计10余万美元)。
面对又一起发生在BSC链上的项目被黑事件,成都链安·安全团队第一时间启动安全应急响应,针对PancakeHunny被黑事件进行跟踪分析,以提醒BSC链上各大项目切实提高安全防范意识,警惕“黑色5月”阴云的持续笼罩 。
据了解,PancakeHunny是PancakeBunny的又一仿盘项目。在本次被黑事件中,黑客采取的攻击手法大体上与此前攻击PancakeBunny近似,均是在短时间内增发大量的代币并抛向市场,并引起了HunnyToken币价暴跌。
创始人SNJ:BitANT将从以太坊跨链到bsc:据官方消息,近日,BitANT创始人SNJ发推特表示:BitBTC的第一个生态项目“发红包”正式上线fahongbao,标志着生态开始落地。“发红包”项目支持bsc、polygon、optimism上所有代币,社区已经尝试用usdt、bitbtc、BitANT等。
据悉,目前该红包即将支持bsc上热门项目包括doge、shiba等。BitBTC是分拆BTC的项目,按照1:1000000恒定锚定BTC。BitANT这个项目的平台币,即将由eth跨链到BSC,届时将进行收税和销毁。[2022/2/8 9:38:55]
BSC上借贷平台Venus新增合规稳定币TUSD货币市场:据最新消息,BSC上去中心化借贷协议Venus已添加对合规稳定币TrueUSD的支持。用户存入TUSD后可获得vTUSD,同时可抵押vTUSD借出其他资产或生成稳定币VAI以提高资金使用率。TUSD借贷池相关参数如下:抵押品系数80%,预留金系数20%,每日产出50枚XVS,资金使用率达81%。
稳定币TUSD目前已上线BSC上多个头部DEFI项目,包含PancakeSwap去中心化交易所、稳定币兑换协议Ellipsis、杠杆挖矿平台Alpaca等,实现交易、借贷、稳定币大额兑换等多场景组合应用。目前TUSD在BSC上总TVL超过8亿,持币地址数超10,000,是最透明,完全抵押并经链上实时验证的美元稳定币。[2021/9/23 17:01:05]
成都链安·安全团队针对被黑代码展开跟踪分析,根据已披露的线索和攻击交易上来看,黑客主要是利用了HunnyMinter函数的设计缺陷进行了攻击,如下图所示:
MDEX(BSC&HECO)进行流动性挖矿和交易挖矿权重调整:据MDEX官方公告,MDEX在每区块挖矿总奖励不变的情况下,将于2021年7月1日15:00(UTC+8)对流动性挖矿和交易挖矿奖励权重进行调整。调整细节,均以官网页面展示为准。DAO管理开启后,权重调整方案将交由社区投票决定。具体细节见官方公告。[2021/7/1 0:19:45]
需要注意的是,mintFor函数用于将收取的手续费转化为HunnyToken并返还给用户;但在读取需要转换的手续费时,错误地使用了balanceOf做为参数,且在兑换HunnyToken时,使用的是固定兑换比例(当时为1 BNB:3200 HunnyToken),这给了黑客发动攻击的可乘之机。
黑客首先向hunnyMinter合约中打入了56个cake代币;再同时调用CakeFilpValut合约中的getReward函数,间接触发了hunnyMinter中的mintFor函数。
此时hunnyMinter合约中因存在黑客打入的cake,导致能够兑换大量的HunnyToken;而此时的HunnyToken的价格,已经超过设定的固定值,这使得此处存在套利空间。后续黑客一直使用相同方法进行套利,直至项目方置零固定兑换比例hunnyPerProfitBNB。
不难看出,此次事件是又一次发生在BSC链上的仿盘项目的被黑事件。结合5月多起诸如Merlin、AutoSharkFinance等FORK项目被黑经历来看,黑客针对BSC链上仿盘项目的攻击态势仍然在持续发酵。在此,成都链安提醒各大FORK项目尤其需要注重安全风险,加强安全防范工作,切勿懈怠。
同时,针对项目本身的开发和创新,我们建议开发者需要对原生项目进行深入理解,切勿一味地照搬和模仿;特别是在安全建设方面,在同步原生项目的安全防护策略之外,也需要联动第三方安全公司的力量,建立一套独立自主的安全风控体系,以应对各类突发的安全风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。