UNN:BSC鏈上項目再遭黑客攻擊，「黑色5月」陰云持續？

一、事件概覽

北京時間6月3日11時11分，鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示，BSC鏈上項目PancakeHunny遭遇黑客攻擊。據統計，此次攻擊事件中，黑客總共獲利43ETH。

面對又一起發生在BSC鏈上的項目被黑事件，成都鏈安·安全團隊針對PancakeHunny被黑事件進行跟蹤分析，以提醒BSC鏈上各大項目切實提高安全防范意識，警惕“黑色5月”陰云的持續籠罩?。

MDEX（Heco版&BSC版）第一期IMO項目CoinWind即將上線:據官方消息，MDEX（Heco版&BSC版）第一期IMO項目Coinwind將于5月25日20:00（SGT）開啟，5月25日22:00(SGT)結束。MDEX平臺COW總供應量300萬枚，其中MDEX（Heco版）MDX單幣額度75萬個COW，MDX-HT LP 額度75萬個COW，MDEX（BSC版）MDX單幣額度75萬個COW，MDX-BNB LP額度75萬個COW。

據悉，IMO（Initial Mdex Offering），基于MDEX的去中心化初始上線兌換機制，IMO V1 將實現基礎的公開兌換功能（超額式），為項目提供充足流動性的同時，讓用戶可以更公平的參與進來。公開兌換功能所有用戶均可參與，資產制定兌換規則及兌換時間，用戶可在規定時間內進行兌換份額申請，兌換結束后根據兌換比例分配Token，扣除兌換額度剩余的資金將退回原地址，用戶可以使用MDX或MDEX平臺LP參與兌換。[2021/5/20 22:25:41]

據了解，PancakeHunny是PancakeBunny的又一仿盤項目。在本次被黑事件中，黑客采取的攻擊手法大體上與此前攻擊PancakeBunny近似，均是在短時間內增發大量的代幣并拋向市場，并引起了HunnyToken幣價暴跌。

MDEX.COM（HECO&BSC）新增流動性挖礦名單和權重調整:據MDEX.COM官方公告，于5月10日18:00（UTC+8在每區塊挖礦總獎勵不變的情況下，新增HECO版流動性挖礦名單：HTMOON/HT、USDC/USDT、DAI/USDT，并在HECO版和BSC版同時進行交易挖礦權重調整。流動性挖礦調整細節，具體以官網展示為準。DAO管理開啟后，權重調整方案將交由社區投票決定。詳情見官方公告鏈接。[2021/5/10 21:45:11]

二、事件分析

dFuture將上線BSC鏈UNI/USDT合約交易:據官方消息，去中心化衍生品交易所dFuture將于2021年4月27日17:00(GMT+8)上線BSC鏈的UNI/USDT合約交易。

dFuture 是由 MIX 集團旗下 Mix Labs 打造的去中心化衍生品交易協議，采用QCAMM做市商協議，具有零滑點、高交易深度、零無償損失的特點。[2021/4/27 21:02:53]

成都鏈安·安全團隊針對被黑代碼展開跟蹤分析，根據已披露的線索和攻擊交易上來看，黑客主要是利用了HunnyMinter函數的設計缺陷進行了攻擊，如下圖所示：

需要注意的是，mintFor函數用于將收取的手續費轉化為HunnyToken并返還給用戶；但在讀取需要轉換的手續費時，錯誤地使用了balanceOf做為參數，且在兌換HunnyToken時，使用的是固定兌換比例，這給了黑客發動攻擊的可乘之機。

黑客首先向hunnyMinter合約中打入了56個cake代幣；再同時調用CakeFilpValut合約中的getReward函數，間接觸發了hunnyMinter中的mintFor函數。

此時hunnyMinter合約中因存在黑客打入的cake，導致能夠兌換大量的HunnyToken；而此時的HunnyToken的價格，已經超過設定的固定值，這使得此處存在套利空間。后續黑客一直使用相同方法進行套利，直至項目方置零固定兌換比例hunnyPerProfitBNB。

三、事件復盤

不難看出，此次事件是又一次發生在BSC鏈上的仿盤項目的被黑事件。結合5月多起諸如Merlin、AutoSharkFinance等FORK項目被黑經歷來看，黑客針對BSC鏈上仿盤項目的攻擊態勢仍然在持續發酵。在此，成都鏈安提醒各大FORK項目尤其需要注重安全風險，加強安全防范工作，切勿懈怠。

同時，針對項目本身的開發和創新，我們建議開發者需要對原生項目進行深入理解，切勿一味地照搬和模仿；特別是在安全建設方面，在同步原生項目的安全防護策略之外，也需要聯動第三方安全公司的力量，建立一套獨立自主的安全風控體系，以應對各類突發的安全風險。

Tags：UNNBSCDEXMdexBunnyVerseKeep3r BSC NetworkdHEDGE Top Indexmdex幣還有救嗎

歐易okex官網