一、事件概览
北京时间6月3日11时11分,链必安-区块链安全态势感知平台舆情监测显示,BSC链上项目PancakeHunny遭遇黑客攻击。据统计,此次攻击事件中,黑客总共获利43ETH。面对又一起发生在BSC链上的项目被黑事件,成都链安·安全团队针对PancakeHunny被黑事件进行跟踪分析,以提醒BSC链上各大项目切实提高安全防范意识,警惕“黑色5月”阴云的持续笼罩。据了解,PancakeHunny是PancakeBunny的又一仿盘项目。在本次被黑事件中,黑客采取的攻击手法大体上与此前攻击PancakeBunny近似,均是在短时间内增发大量的代币并抛向市场,并引起了HunnyToken币价暴跌。
Linea推出娱乐节活动,旨在探索Web3社交和游戏:9月5日消息,以太坊Layer2网络Linea宣布推出娱乐节活动,旨在探索Web3社交和游戏。
Linea表示,娱乐节是扩展Linea游戏生态系统并促进网络上的游戏社区参与的手段,分为三个子活动,分别在2023年9月5日至2023年10月8日之间独立进行。[2023/9/5 13:18:06]
前FTX高管斥资数百万美元资助与加密货币或Web3完全无关的项目:金色财经报道,前FTX高管斥资数百万美元资助与加密货币或Web3完全无关的项目,其中包括一个独特命名的价值180万美元的菠萝屋。
根据6月26日发布的一份报告,这包括该交易所的联合创始人Sam Bankman-Fried和其他前高管在非营利的FTX基金会下进行的\"慈善\"捐款。报告称,其中有价值70万美元的FTX基金会赠款,其中40万美元给了一个在YouTube上发布与'理性主义和有效利他主义材料有关的动画视频的实体。另一笔30万美元的资助给了一个人,让他\"写一本关于如何弄清人类效用函数的书\"。[2023/6/27 22:02:59]
二、事件分析
印度软件和服务公司协会:目前印度拥有全球11%的Web 3.0人才:金色财经报道,印度全国软件和服务公司协会 (NASSCOM) 发布的一项新研究显示,该国目前拥有全球 11% 的 Web 3.0 人才,全球排名第三。截至目前,印度区块链专业人士近 7.5 万人,预计未来两年内人才库将增长 120% 以上。印度还拥有 450 家 Web 3.0 初创公司,其中四家是独角兽公司。到 2022 年 4 月,印度 Web 3.0 生态系统已经筹集了 13 亿美元的资金。此外,超过 60% 的印度 Web 3.0 初创公司已将足迹扩展到国外。[2022/10/19 17:32:27]
成都链安·安全团队针对被黑代码展开跟踪分析,根据已披露的线索和攻击交易上来看,黑客主要是利用了HunnyMinter函数的设计缺陷进行了攻击,如下图所示:
需要注意的是,mintFor函数用于将收取的手续费转化为HunnyToken并返还给用户;但在读取需要转换的手续费时,错误地使用了balanceOf做为参数,且在兑换HunnyToken时,使用的是固定兑换比例,这给了黑客发动攻击的可乘之机。
黑客首先向hunnyMinter合约中打入了56个cake代币;再同时调用CakeFilpValut合约中的getReward函数,间接触发了hunnyMinter中的mintFor函数。此时hunnyMinter合约中因存在黑客打入的cake,导致能够兑换大量的HunnyToken;而此时的HunnyToken的价格,已经超过设定的固定值,这使得此处存在套利空间。后续黑客一直使用相同方法进行套利,直至项目方置零固定兑换比例hunnyPerProfitBNB。
三、事件复盘
不难看出,此次事件是又一次发生在BSC链上的仿盘项目的被黑事件。结合5月多起诸如Merlin、AutoSharkFinance等FORK项目被黑经历来看,黑客针对BSC链上仿盘项目的攻击态势仍然在持续发酵。在此,成都链安提醒各大FORK项目尤其需要注重安全风险,加强安全防范工作,切勿懈怠。同时,针对项目本身的开发和创新,我们建议开发者需要对原生项目进行深入理解,切勿一味地照搬和模仿;特别是在安全建设方面,在同步原生项目的安全防护策略之外,也需要联动第三方安全公司的力量,建立一套独立自主的安全风控体系,以应对各类突发的安全风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。