比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads

UNN:BSC鏈上項目再遭黑客攻擊 PancakeHunny被黑事件簡析

Author:

Time:1900/1/1 0:00:00

一、事件概覽

北京時間6月3日11時11分,鏈必安-區塊鏈安全態勢感知平臺(Beosin-Eagle Eye)輿情監測顯示,BSC鏈上項目PancakeHunny遭遇黑客攻擊。據統計,此次攻擊事件中,黑客總共獲利43ETH(合計10余萬美元)。

面對又一起發生在BSC鏈上的項目被黑事件,成都鏈安·安全團隊第一時間啟動安全應急響應,針對PancakeHunny被黑事件進行跟蹤分析,以提醒BSC鏈上各大項目切實提高安全防范意識,警惕“黑色5月”陰云的持續籠罩 。

SheepDex針對BSC鏈項目提出多重激勵計劃:據官方消息,SheepDex將為BSC鏈潛在項目提供激勵幫助該項目發展。將項目流動性添加到SheepDex,SheepDex將為項目提供交易挖礦、流動性挖礦以及手續費分成的三重獎勵給項目的用戶。通過SheepDex V3區間掛單的流動性聚合,能降低項目代幣交易滑點,穩定價格,提高資金利用率至數百倍。[2021/11/22 7:04:54]

據了解,PancakeHunny是PancakeBunny的又一仿盤項目。在本次被黑事件中,黑客采取的攻擊手法大體上與此前攻擊PancakeBunny近似,均是在短時間內增發大量的代幣并拋向市場,并引起了HunnyToken幣價暴跌。

BSC鏈上項目StableMagnet跑路,損失2,200萬美元:北京時間6月24日,PeckShield派盾預警顯示,BSC鏈上項目StableMagnet跑路,損失2,200萬美元。[2021/6/24 0:02:10]

二、事件分析

成都鏈安·安全團隊針對被黑代碼展開跟蹤分析,根據已披露的線索和攻擊交易上來看,黑客主要是利用了HunnyMinter函數的設計缺陷進行了攻擊,如下圖所示:

MDEX(HECO&BSC)新增流動性挖礦名單和權重調整:據MDEX.COM官方公告,在每區塊挖礦總獎勵不變的情況下,將于5月6日18:00(UTC+8)新增HECO版流動性挖礦名單DAI/USDC,并在HECO和BSC版同時進行DOGE/USDT、WBNB/BUSD、WBNB/BTCB、WBNB/ETH 、DAI/USDC、WHT/USDT 權重調整。流動性挖礦調整細節,具體以官網展示為準。DAO管理開啟后,權重調整方案將交由社區投票決定。詳情見官方鏈接。[2021/5/6 21:29:50]

需要注意的是,mintFor函數用于將收取的手續費轉化為HunnyToken并返還給用戶;但在讀取需要轉換的手續費時,錯誤地使用了balanceOf做為參數,且在兌換HunnyToken時,使用的是固定兌換比例(當時為1 BNB:3200 HunnyToken),這給了黑客發動攻擊的可乘之機。

黑客首先向hunnyMinter合約中打入了56個cake代幣;再同時調用CakeFilpValut合約中的getReward函數,間接觸發了hunnyMinter中的mintFor函數。

此時hunnyMinter合約中因存在黑客打入的cake,導致能夠兌換大量的HunnyToken;而此時的HunnyToken的價格,已經超過設定的固定值,這使得此處存在套利空間。后續黑客一直使用相同方法進行套利,直至項目方置零固定兌換比例hunnyPerProfitBNB。

三、事件復盤

不難看出,此次事件是又一次發生在BSC鏈上的仿盤項目的被黑事件。結合5月多起諸如Merlin、AutoSharkFinance等FORK項目被黑經歷來看,黑客針對BSC鏈上仿盤項目的攻擊態勢仍然在持續發酵。在此,成都鏈安提醒各大FORK項目尤其需要注重安全風險,加強安全防范工作,切勿懈怠。

同時,針對項目本身的開發和創新,我們建議開發者需要對原生項目進行深入理解,切勿一味地照搬和模仿;特別是在安全建設方面,在同步原生項目的安全防護策略之外,也需要聯動第三方安全公司的力量,建立一套獨立自主的安全風控體系,以應對各類突發的安全風險。

Tags:UNNBSCCAKEANCCrazy BunnyCloud9BSCCAKECRYPT幣Steer Finance

fil幣價格今日行情
比特幣:?論現行規則下虛擬貨幣的法律地位轉變

隨著區塊鏈技術的發展,虛擬貨幣也引起了廣泛討論,尤其是近期以狗狗幣、SHIB為代表幣種價格的劇烈波動再次把虛擬貨幣推向了風口浪尖。作為區塊鏈技術的主要應用之一,虛擬貨幣的法律地位不盡相同.

1900/1/1 0:00:00
OCEAN:對數據經濟、NFT的一些思考

今天這篇東西是基于這些天來對數據經濟和ownershipLabs在做的事情的一些思考,主要的研究范本是Ocean protocol。第二部分則是近期對NFT和數據結合的想法.

1900/1/1 0:00:00
區塊鏈:鄧建鵬:以新型監管防范虛擬貨幣炒作風險

近日,中國互聯網金融協會、中國銀行業協會與中國支付清算協會聯合發布公告,要求會員機構不得開展虛擬貨幣交易兌換以及其他相關金融業務.

1900/1/1 0:00:00
SUN:專訪波場創始人孫宇晨:解讀SUN.io代幣拆分和平臺升級背后的戰略價值

5月27日,波場TRON生態中DeFi建設的核心項目SUN開啟了代幣拆分 & 平臺升級計劃,升級后的SUN.io將成為波場TRON首家集穩定幣兌換、代幣挖礦及自治的一體化平臺.

1900/1/1 0:00:00
區塊鏈:高盛再次投資一家區塊鏈基礎服務公司 背后原因是什么?

高盛繼續加倍押注加密資產領域,今年4月,作為銀行機構的高盛允許其高凈值客戶投資于基于比特幣的投資產品,重新啟動其加密領域交易部門,并一直向這一資產類別開放.

1900/1/1 0:00:00
比特幣:環境VS利益 紐約州的加密礦場何去何從?

國內新疆、甘肅、內蒙古多地宣布禁止比特幣挖礦,不少礦工準備轉戰海外之后,國外的一些地區對于比特幣挖礦也存在著諸多聲音。從經濟的角度看,比特幣挖礦可以為經濟停滯的地區帶來福音,促進就業并提高稅收.

1900/1/1 0:00:00
ads