一、事件概覽
北京時間6月3日11時11分,鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示,BSC鏈上項目PancakeHunny遭遇黑客攻擊。據統計,此次攻擊事件中,黑客總共獲利43ETH。
面對又一起發生在BSC鏈上的項目被黑事件,成都鏈安·安全團隊針對PancakeHunny被黑事件進行跟蹤分析,以提醒BSC鏈上各大項目切實提高安全防范意識,警惕“黑色5月”陰云的持續籠罩?。
Binance:由于幣安智能鏈網絡升級后出現節點問題,已暫時關閉BSC充提業務:金色財經報道,Binance發布公告稱,由于 Binance Smart Chain(BEP20)網絡升級后出現節點問題,已暫時關閉BSC充提業務。團隊正在努力解決此問題,預計完成時間為 1 小時。[2023/3/30 13:35:45]
據了解,PancakeHunny是PancakeBunny的又一仿盤項目。在本次被黑事件中,黑客采取的攻擊手法大體上與此前攻擊PancakeBunny近似,均是在短時間內增發大量的代幣并拋向市場,并引起了HunnyToken幣價暴跌。
DeFIL 2.0即將登陸幣安智能鏈BSC:據官方消息,Filecoin去中心化金融服務平臺DeFIL 2.0將于2021年9月1日11時正式上線幣安智能鏈BSC,并同步開啟所有功能。為了更好地加強filst的市場影響力,經社區建議,DFL產出分配將會做出相應的調整,調整后20%的DFL產出獎勵給存FIL的用戶;20%獎勵給Pancake上FILST-USDT流動性提供者;20%獎勵給Pancake上eFIL-FILST流動性提供者;20%獎勵給Pancake上DFL-USDT流動性提供者;10%給到社區激勵;5%歸屬于基金會;5%歸屬于技術團隊。[2021/8/31 22:49:04]
二、事件分析
MDEX.COM (BSC版)上線董事會Boardroom:據MDEX.COM官方公告,將于2021年4月11日20:00(UTC+8)上線Boardroom (BSC版)并開啟董事會獎勵,于單幣挖礦結束后開啟MDX回購與銷毀。Boardroom所有機制均公開、透明、公正,且鏈上實時顯示。待MDX充分釋放后,MDEX將會通過鏈上DAO方式進行Boardroom的權益投票治理,屆時參與選舉的Boardroom成員將會享有更多權益。Boardroom(BSC版)回購與獎勵規則說明詳見官方公告。[2021/4/11 20:07:07]
成都鏈安·安全團隊針對被黑代碼展開跟蹤分析,根據已披露的線索和攻擊交易上來看,黑客主要是利用了HunnyMinter函數的設計缺陷進行了攻擊,如下圖所示:
需要注意的是,mintFor函數用于將收取的手續費轉化為HunnyToken并返還給用戶;但在讀取需要轉換的手續費時,錯誤地使用了balanceOf做為參數,且在兌換HunnyToken時,使用的是固定兌換比例,這給了黑客發動攻擊的可乘之機。
黑客首先向hunnyMinter合約中打入了56個cake代幣;再同時調用CakeFilpValut合約中的getReward函數,間接觸發了hunnyMinter中的mintFor函數。
此時hunnyMinter合約中因存在黑客打入的cake,導致能夠兌換大量的HunnyToken;而此時的HunnyToken的價格,已經超過設定的固定值,這使得此處存在套利空間。后續黑客一直使用相同方法進行套利,直至項目方置零固定兌換比例hunnyPerProfitBNB。
三、事件復盤
不難看出,此次事件是又一次發生在BSC鏈上的仿盤項目的被黑事件。結合5月多起諸如Merlin、AutoSharkFinance等FORK項目被黑經歷來看,黑客針對BSC鏈上仿盤項目的攻擊態勢仍然在持續發酵。在此,成都鏈安提醒各大FORK項目尤其需要注重安全風險,加強安全防范工作,切勿懈怠。
同時,針對項目本身的開發和創新,我們建議開發者需要對原生項目進行深入理解,切勿一味地照搬和模仿;特別是在安全建設方面,在同步原生項目的安全防護策略之外,也需要聯動第三方安全公司的力量,建立一套獨立自主的安全風控體系,以應對各類突發的安全風險。
尊敬的歐易OKEx用戶:歐易OKEx將于2021年4月23日15:00(HKT)?在網頁端、APP端及API正式上線LPT、CELR的杠桿交易、余幣寶及LPTUSDT、RVNUSDT永續合約.
1900/1/1 0:00:001.元宇宙Metaverse是什么?為什么這么火爆?元宇宙Metaverse的概念最近火起來了,究竟.
1900/1/1 0:00:00在過去的一周里,虛擬土地的需求出現了顯著的增長,這要歸功于一些土地出售活動和NFT交易。Decentraland的一處虛擬房產以709,020美元的價格售出,成為上周以來第二昂貴的NFT.
1900/1/1 0:00:00原標題:買了虛擬幣卻賣不出去!總臺記者獨家揭秘“百倍幣”騙局 賣不掉的虛擬幣 這并不是國家第一次這么大力度來監管虛擬幣了.
1900/1/1 0:00:00本文來自?TheBlock,原文作者:YogitaKhatriOdaily星球日報譯者|余順遂 摘要: 英國金融監管機構進一步延長了現有加密公司的注冊期限.
1900/1/1 0:00:00近期,二層網絡擴容方案Arbitrum動作頻繁,讓原本平靜的Layer2生態頓時熱鬧起來,不禁讓人有種以太坊擴容方案正在步步臨近的感覺.
1900/1/1 0:00:00