ANC:獨家 | Fairyproof Tech：分叉復制PancakeBunny代碼 Dot Finance遭“同源”攻擊

本文由“Fairyproof Tech”原創，授權“金色財經”獨家發布。

8月25日，BSC鏈上的收益聚合應用Dot.Finance受到閃電貸攻擊。受本次攻擊事件的影響，項目代幣PINK在短時內發生暴跌，從0.77美元跌至0.5美元。

這次攻擊事件中有兩點值得我們注意：

一是閃電貸再次成為黑客的工具，將攻擊的后果放大。

二是本次攻擊與前陣子PancakeBunny受到的攻擊同源。

關于“閃電貸”，我們已經在往期的文章中多次介紹：它不是攻擊的元兇而只是攻擊利用的手段。本文特別想強調的是第二點，也就是本次攻擊與PancakeBunny的同源性。

我們在本文所說的“同源”通俗的理解就是本項目出現的漏洞與PancakeBunny一樣。為什么會這樣呢？原因就在于Dot Fiance是分叉自PanacakeBunny的代碼，而在分叉復制的過程中，項目方或許是因為疏忽，或許是因為其它原因，并沒有對代碼進行詳細審計，以致PancakeBunny代碼中的漏洞也一并復制過來了，而沒有得到修正。

獨家 | Jenny：礦工抗風險能力高，或成最大贏家:在今晚由算力互聯主辦，金色財經獨家支持直播的2020礦業新勢力AMA上，針對“在2020年，礦業還有哪些重要的機會？會有哪些新布局？”的問題，Bitrise Capital（比升資本）合伙人Jenny表示正在籌備成立“礦業基金”，充分利用全供應鏈服務和多資源優勢，以更專業、更合規、更安全的方式來幫助用戶實現輕松挖礦。從過去兩年的挖礦投資回報數據顯示，投資挖礦的年化回報率大概在40%左右，這在投資行業已經是非常理想的回報效果了。便宜不僅僅是意味著更高的獲利，投資者更加看中的是，挖礦的抗風險能力要遠遠高于二級市場的任何角色，礦工最有可能成為笑到最后的大贏家。[2020/2/26]

由于本次攻擊與PancakeBunny具有同源性，因此我們有必要首先回顧一下PancakeBunny此前受到的攻擊情況，這些攻擊事件具體如下：

獨家 | 金色財經2月14日挖礦收益數據播報:金色財經報道，據印比特數據顯示，按照BTC參考價格71100元、電價0.38元/kWh計算，當前在售主流BTC礦機的市場價格及回本周期為：神馬M20S-68T（3月份期貨11500元，231天回本）、芯動T3+-57T（全新現貨9690元，268天回本）、螞蟻S17Pro-56T（全新現貨12500元，311天回本）、阿瓦隆1066-50T（全新現貨6300元，214天回本）。[2020/2/14]

2021年5月20日，PancakeBunny第一次遭遇攻擊

2021年5月26日，PancakeBunny第二次遭遇攻擊

2021年7月17日，PancakeBunny在Polygon上的版本遭外部攻擊

獨家 | 歐科集團第二批醫用物資陸續抵鄂:金色財經獨家報道，繼1月29日捐贈10萬套醫用物資后，歐科集團采購的第二批物資，2400套醫用護目鏡、500套防護服已經發往湖北武漢、黃岡、鄂州等地的十家醫院。該批物資的捐贈對象包括華中科技大學同濟醫學院附屬協和醫院（武漢協和）、武漢大學人民醫院東院、黃岡武穴市第一人民醫院、鄂州市中心醫院等。

歐科集團相關人員表示，盡管目前國內醫用物資采購及運輸難度較大，但歐科集團將在力所能及的范圍內為廣大醫務工作者提供更多支持。[2020/2/1]

本次Dot Finance受到的攻擊則與 PancakeBunny第二次遭受的攻擊是相同的漏洞。具體地說，Dot Finance分叉復制了PancakeBunny的收益聚合部分，但沒有修正其隱藏的漏洞。

獨家 | RatingToken提示用戶警惕千面合約存在“假充值”漏洞:第三方大數據評級機構RatingToken最新數據顯示，2018年8月1日全球共新增1655個合約地址，其中388個為代幣型智能合約。RatingToken安全審計團隊發現，某以太坊個人地址使用同一份代碼創建了6個智能合約地址，包括SPR、FXS、RKG、STR、SFX和VER，這些合約地址被包裝成6個網站，類型包括社交和貿易合作等，疑似使用相同網站模板創建，且投資方信息無法對應。合約安全檢測得分為3.8分，且發現合約地址存在“假充值”漏洞，如果該類代幣上所交易，攻擊者可以利用漏洞向中心化交易所、錢包等服務平臺發起充值操作，如果服務平臺僅根據“TxReceipt Status ”是否是 “success”來判斷交易是否成功，則會觸發“假充值”行為，該創建者的動機可疑，RatingToken安全審計團隊將持續關注該類合約。如需查看更多智能合約檢測結果，請查看原文鏈接。[2018/8/2]

Fairyproof Tech對本次事件的詳細分析如下：

獨家 | RatingToken：未來的公鏈會在易用性、拓展性等方面實現突破 ?:近期，公私鏈、區塊鏈技術地位、區塊鏈如何賦能實體經濟等相關問題都比較熱。RatingToken的公鏈研究實驗室在接受金色財經獨家專訪時表示：當前的公鏈不夠成熟，還處于探索期。公鏈不夠去中心化主要體現在兩個方面：首先，設計理念雖去中心化，但結果不盡人意，例如比特幣、以太坊存在算力過度集中的問題；其次，為了提升性能，部分公鏈在設計之初，就減少共識節點的數量，但并沒有做到去中心化。

另外，無法在高性能和高安全性方面尋求平衡是公鏈的痛點，這也是公鏈在未來應該努力的方向，這些問題或許可以從軟硬件的配合、更好的架構、更先進的共識算法等角度解決。

DApp生態是公鏈的核心，未來的公鏈會在易用性、拓展性等方面實現較大的突破，隨著開發門檻的降低，公鏈本身將兼容更多的應用場景，并涌現更多的行業標準。因此，未來的公鏈一定會朝著輕而快的方向發展，在安全的基礎上，鏈上將有更少的數據存儲、更快的交易速度，并且更加契合移動端需求。[2018/7/19]

在本次攻擊中，

攻擊者的地址為：0xDFD78a977c08221822F6699AD933869Da6d9720C

攻擊合約的地址為：0x33f9bB37d60Fa6424230e6Cf11b2d47Db424C879

被攻擊的合約為“VaultPinkBNB”，其地址為：0xbfca3b1df0ae863e966b9e35b9a3a3fee2ad8b07

具體在合約“VaultPinkBNB”中，出現漏洞的代碼為“getReward()”函數，函數完整代碼如下：

函數中具體出現漏洞的代碼片段為：

上述代碼片段在計算獎勵時，_minter.performanceFee(cakeBalance)傳入的參數cakeBalance 是CAKE代幣的余額。攻擊者可以在調用getReward前將閃電貸借入的CAKE轉入 VaultPinkBNB合約，導致產生非預期的performanceFee值，而_minter.mintFor()則根據這個非預期的performanceFee值增發超額的PINK獎勵代幣。然后攻擊者將PINK在Pancake上賣出換為BNB和CAKE，一部分償還閃電貸，剩余部分則為本次攻擊的獲利。

這類由項目之間的相互分叉而導致漏洞傳導的事件已經不是第一次發生，我們相信未來這類漏洞還會發生。

單就本次攻擊及漏洞的來源來看，Fairyproof Tech強烈建議，所有分叉自PancakeBunny或與 PancakeBunny同源的項目都應再次審查項目代碼是否存在類似的漏洞，對代碼進行安全審計。

如果從本次漏洞出現的模式看，所有分叉自其它項目的項目都應提高警惕。這類具有同源性質的多個項目，無論其漏洞本身隱藏得多么深，但只要發生一次、被業界公開，其它的同源項目都應該引起警示并馬上著手整改。因為此類漏洞一旦被披露，理論上項目方是有足夠的時間來修正問題的。只要項目方在漏洞發生的第一時間對本項目代碼進行二次審計和測試，本項目受到后續攻擊是完全可以避免的。

因此Fairyproof Tech再次提醒項目方，尤其是分叉自其它項目的項目方，每當同源項目受到攻擊時，應立刻著手對本項目代碼進行再次審計，避免項目重蹈覆轍。

關于Fairyproof Tech：

Fairyproof Tech科技有限公司是一家專注區塊鏈生態安全的公司。Fairyproof Tech科技主要通過“代碼風險檢測+邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月，團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。

團隊成員參與發起并提交了以太坊領域的多項標準草案，包括ERC-1646、ERC-2569、ERC-2794，其中ERC-2569 被以太坊團隊正式收入。

團隊參與了多項以太坊項目的發起及構建，包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目， 并參與了多個項目的安全審計工作，在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。

作者：

Fairyproof TechCEO 譚粵飛

美國弗吉尼亞理工大學(Virginia Tech, Blacksburg, VA, USA) 工業工程（Industrial Engineering） 碩士(Master)。曾任美國硅谷半導體公司 AIBT Inc（San Jose, CA, USA） 軟件工程師，負責底層控制系統的開發、設備制程的程序實現、算法的設計，并負責與臺積電的全面技術對接和交流。自2011至今，從事嵌入式，互聯網及區塊鏈技術的研究，深圳大學創業學院《區塊鏈概論》課程教師，中山大學區塊鏈與智能中心客座研究員，廣東省金融創新研究會常務理事 。個人擁有4項區塊鏈相關專利、3本出版著作。

Tags：ANCCAKEPANBUNNYLybra Financecake幣值得長期持有嗎pangolin幣資料BUNNYINU

中幣交易所