前言
北京時間10月20日晚,知道創宇區塊鏈安全實驗室監測到BSC鏈上的DeFi協議PancakeHunny的WBNB/TUSD池遭遇閃電貸攻擊,HUNNY代幣價格閃崩。實驗室第一時間跟蹤本次事件并分析。
分析
PancakeSwap V3已正式上線Polygon zkEVM主網:7月4日消息,PancakeSwap宣布其V3版本已正式上線Polygon zkEVM主網,并作為測試網生態系統合作伙伴加入Linea Voyage的DeFi Week。
此外,PancakeSwap表示,其V3總交易量升至35億美元,較上個月環比增長3.74%,其中以太坊鏈上 PancakeSwap V3交易量環比增長74%。[2023/7/4 22:17:41]
攻擊者信息
攻擊者:
0x731821D13414487ea46f1b485cFB267019917689
Virtual Arts完成新一輪融資,Animoca Brands Japan參投:金色財經報道,據Animoca Brands官方消息,Virtual Arts宣布完成新一輪融資,Animoca Brands戰略子公司Animoca Brands Japan參投,具體投資金額暫未公開。Virtual Arts正在為全球街舞社區構建一個Web3舞蹈對戰應用,該應用預計將在今年五月上線虛擬化身功能,后續還將添加新功能,將舞蹈視頻轉換為用戶頭像并提供更多Web3內容。[2023/2/16 12:10:09]
攻擊合約:
安全團隊:PanksNotDed項目Discord服務器遭到攻擊:金色財經報道,據CertiK監測,PanksNotDed項目Discord服務器遭到攻擊。請社區用戶在服務器修復之前不要點擊任何鏈接。[2023/1/7 10:59:54]
0xa5312796DC20ADd51E41a4034bF1Ed481b708e71
第一次攻擊tx:
0x1b698231965b72f64d55c561634600b087154f71bc73fc775622a45112a94a77
PancakeSwap Farms TRX-BNB、BTT-BNB和WIN-BNB LP突破5100萬美金:據PancakeSwap平臺最新數據,PancakeSwap Farms TRX-BNB、BTT-BNB、WIN-BNB LP礦池,流動性資金LP突破5100萬美金,據悉,PancakeSwap已正式上線質押CAKE得TRX、BTT、WIN以及提供TRX-BNB LP、BTT-BNB LP、WIN-BNB LP得CAKE挖礦活動。TRX-BNB、BTT-BNB、WIN-BNB的LP礦池,在開放后的前 48 小時內,用戶可以獲得 2 倍的 CAKE 獎勵,之后便恢復到正常水平。此外,在幣安交易所可以把波場版的TRX、BTT、WIN置換成幣安版(BEP20-BSC)的對應代幣。[2021/5/8 21:38:44]
被攻擊池信息
VaultStrategyAlpacaRabbit:0x27d4cA4bB855e435959295ec273FA16FE8CaEa14
VaultStrategyAlpacaRabbit:0xef43313e8218f25Fe63D5ae76D98182D7A4797CC
攻擊流程
攻擊者從CreamFinance通過閃電貸獲得53.25BTC
用53.25BTC從Venus借出2717107TUSD
在PancakeSwap上,用TUSD兌換BNB,抬高BNB價格
使用50個不同的錢包地址將38250TUSD存入HUNNYTUSDVault合約
贖回2842.16TUSD,并鑄造12020.40HUNNY代幣
以7.78WBNB的價格賣出HUNNY代幣
50個錢包重復26次以上步驟
細節
VaultStrategyAlpacaRabbit合約池的_harvest()函數中,資產的兌換路由為ALPACA=>WBNB=>TUSD,而WBNB/TUSD池中流動性較低,易被操縱。
在巨額兌換后,抬高了WBNB對TUSD的價格,攻擊者調用harvest()函數后,Vault合約的TUSD利潤劇增,隨后調用getReward()函數,通過30%的performanceFee手續費鑄造HUNNY代幣,只要鑄造出的HUNNY代幣價值超過30%的performanceFee手續費,就有利可圖。
目前,PancakeHunny官方已采取緊急措施,暫停了TUSDVault合約的鑄幣。
總結
此次PancakeHunny遭遇的閃電貸攻擊的本質原因在于底層資產兌換過程的價格易被操控,未做全面考慮和防護,從而使得攻擊者通過巨額資金操縱某一交易對價格進行攻擊套利。
近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
區塊鏈和游戲是一個很好的組合,可以為開發者和玩家創造價值,尤其游戲行業一直因商業模式和做法可疑而備受詬病.
1900/1/1 0:00:00PocketNetwork是用于Web3應用程序的區塊鏈數據生態系統。2021年11月10日PocketNetwork宣布已與石木資本簽署合作協議。石木資本將為其亞洲市場擴張提供戰略支持.
1900/1/1 0:00:00自2020年初持續到現在的新冠疫情,給全球服務業、餐飲業以及旅游業帶來巨大沖擊,同時全球金融市場同樣受到不同程度的沖擊.
1900/1/1 0:00:00這兩年,隨著牛市行情的持續,區塊鏈行業的相關概念也獲得了資金的爆炒,如公鏈、去中心化金融、NFT、元宇宙等等.
1900/1/1 0:00:00許多突破性的技術是由業余愛好者在車庫和寢室孵化出來的。突出的例子包括個人電腦、網絡、博客和大多數開放源代碼軟件。穿著人字拖的業余愛好者催生了大型產業,這一事實通常被視為技術行業的一個有趣的怪相.
1900/1/1 0:00:00播報數據由Greeks.liveDataLab格致數據實驗室和Deribit官網提供。一般季度交割后都會出現一段時間的穩定期,目前雖然行情脆弱,但是各項市場數據都比較穩定,市場整體情緒比較穩定.
1900/1/1 0:00:00