BSC鏈上項目PancakeHunny被黑事件簡析

2021-06-05 06:06:24

(一)事件概覽

北京時間6月3日11時11分,鏈必安-區塊鏈安全態勢感知平臺(Beosin-Eagle Eye)輿情監測顯示,BSC鏈上項目PancakeHunny遭遇黑客攻擊。據統計,此次攻擊事件中,黑客總共獲利43ETH(合計10余萬美元)。

面對又一起發生在BSC鏈上的項目被黑事件,成都鏈安·安全團隊第一時間啓動安全應急響應,針對PancakeHunny被黑事件進行跟蹤分析,以提醒BSC鏈上各大項目切實提高安全防範意識,警惕“黑色5月”陰雲的持續籠罩

據了解,PancakeHunny是PancakeBunny的又一仿盤項目。在本次被黑事件中,黑客採取的攻擊手法大體上與此前攻擊PancakeBunny近似,均是在短時間內增發大量的代幣並拋向市場,並引起了HunnyToken幣價暴跌。

BSC鏈上項目PancakeHunny被黑事件簡析

(二)事件分析

成都鏈安·安全團隊針對被黑代碼展开跟蹤分析,根據已披露的线索和攻擊交易上來看,黑客主要是利用了HunnyMinter函數的設計缺陷進行了攻擊,如下圖所示:

BSC鏈上項目PancakeHunny被黑事件簡析

需要注意的是,mintFor函數用於將收取的手續費轉化為HunnyToken並返還給用戶;但在讀取需要轉換的手續費時,錯誤地使用了balanceOf做為參數,且在兌換HunnyToken時,使用的是固定兌換比例(當時為1 BNB:3200 HunnyToken),這給了黑客發動攻擊的可乘之機。

BSC鏈上項目PancakeHunny被黑事件簡析

黑客首先向hunnyMinter合約中打入了56個cake代幣;再同時調用CakeFilpValut合約中的getReward函數,間接觸發了hunnyMinter中的mintFor函數。

此時hunnyMinter合約中因存在黑客打入的cake,導致能夠兌換大量的HunnyToken;而此時的HunnyToken的價格,已經超過設定的固定值,這使得此處存在套利空間。後續黑客一直使用相同方法進行套利,直至項目方置零固定兌換比例hunnyPerProfitBNB

BSC鏈上項目PancakeHunny被黑事件簡析

(三)事件復盤

不難看出,此次事件是又一次發生在BSC鏈上的仿盤項目的被黑事件。結合5月多起諸如Merlin、AutoSharkFinance等FORK項目被黑經歷來看,黑客針對BSC鏈上仿盤項目的攻擊態勢仍然在持續發酵。在此,成都鏈安提醒各大FORK項目尤其需要注重安全風險,加強安全防範工作,切勿懈怠

同時,針對項目本身的开發和創新,我們建議开發者需要對原生項目進行深入理解,切勿一味地照搬和模仿;特別是在安全建設方面,在同步原生項目的安全防護策略之外,也需要聯動第三方安全公司的力量,建立一套獨立自主的安全風控體系,以應對各類突發的安全風險

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

推薦文章

比特幣跌破9.5萬、以太坊失守3300美元,本週聖誕節市場避險情緒濃厚

比 特幣週六最高從 92,268 美元反彈到 9.95 萬美元之後,又開始一波震盪下跌,撰稿當下最...

Joe
6 7小時前

加密貨幣交易中的心理關口:恐懼與貪婪如何影響市場?

在加密貨幣市場中,交易心態對行為有著深遠的影響,這大大影響著價格波動和交易決策。本文源自 Abdu...

白話區塊鏈
6 7小時前

為慶祝聖誕,Elfbird精靈鳥推出限量版聖誕鳥

在衆多加密貨幣大幅下跌之際,Elfbird 精靈鳥以其優異玩法設計和豐厚收益仍然吸引了許多玩家參與...

星球日報
5 7小時前

Web3.0安全开發實踐:探索比特幣DeFi生態中的PSBT

近年來,部分籤名比特幣交易(PSBT)在比特幣生態系統中獲得了顯著關注。隨着如Ordinal和基於...

CertiK
5 7小時前

24H熱門幣種與要聞 | Michael Saylor發布數字資產框架提案;Azuki疑似即將發幣(12.23)

24 H 熱門幣種 1、CEX 熱門幣種 CEX 成交額 Top 10 及 24 小時漲跌幅: B...

星球日報
5 7小時前

從銘文賽道看AI Agent敘事:有哪些潛在發展演變邏輯和投資機會?

原文作者:Haotian 可能大家都感覺這一輪 AI Agent 敘事推進像極了 23 年以來的銘...

星球日報
5 7小時前