前言
PREFACE
北京時間 10 月 20 日晚,知道創宇區塊鏈安全實驗室 監測到 BSC 鏈上的 DeFi 協議 PancakeHunny 的 WBNB/TUSD 池遭遇閃電貸攻擊,HUNNY 代幣價格閃崩。實驗室第一時間跟蹤本次事件并分析。
分析
ANALYZE
去中心化搜索初創公司Sepana完成1000萬美元融資:金色財經報道,去中心化搜索初創公司 Sepana 宣布完成 1000 萬美元融資,本輪融資由 Hack VC 和 Pitango First 領投,Protocol Labs、Lattice Capital 和 Balaji Srinivasan 參投。
Sepana 旨在通過其搜索工具使 DAO 和 NFT 等 Web3 內容更容易被發現,其開發的 API 可使去中心化應用程序與其搜索基礎設施集成。[2022/11/8 12:34:04]
攻擊者信息攻擊者:0x731821D13414487ea46f1b485cFB267019917689
Pantera Capital首席執行官:加密市場恐慌已基本結束:金色財經報道,Pantera Capital首席執行官Dan Morehead表示,繼5月全市場崩盤后,加密市場的恐慌已經基本結束。Morehead稱市場出現下跌主要是因為三個事件的結合:有關中國打擊數字資產的消息、埃隆·馬斯克對比特幣的關注以及美國納稅日。Morehead認為,目前的指標表明,市場已經“經歷了恐慌的大部分”,不會再走低。[2021/6/17 23:42:56]
攻擊合約:0xa5312796DC20ADd51E41a4034bF1Ed481b708e71
PancakeSwap銷毀價值超1億美元的CAKE代幣:官方消息,PancakeSwap宣布銷毀5,977,104枚CAKE,價值105,376,358美元。PancakeSwap表示,從市場回購了價值930萬美元的CAKE。[2021/6/1 23:00:53]
第一次攻擊tx:0x1b698231965b72f64d55c561634600b087154f71bc73fc775622a45112a94a77
VaultStrategyAlpacaRabbit:0x27d4cA4bB855e435959295ec273FA16FE8CaEa14
動態 | 收藏卡公司Panini America發行基于區塊鏈的交易卡:知名收藏卡公司Panini America本周正式進入區塊鏈收藏品市場,發行了第一套基于區塊鏈的交易卡。根據公告,Panini America將每周發布10張獨特的區塊鏈卡,共計100張。每張區塊鏈收藏卡都有1:1對應的實體收藏卡,允許拍賣獲勝者保留實體收藏卡并轉售數字版本,反之亦然。(Sludgefeed)[2020/1/9]
VaultStrategyAlpacaRabbit(proxy):0xef43313e8218f25Fe63D5ae76D98182D7A4797CC
攻擊者從 Cream Finance 通過閃電貸獲得 53.25 BTC
用 53.25 BTC 從 Venus 借出 2717107 TUSD
在 PancakeSwap 上,用 TUSD 兌換 BNB,抬高 BNB 價格
使用 50 個不同的錢包地址將 38250 TUSD 存入 HUNNY TUSD Vault 合約
贖回 2842.16 TUSD,并鑄造 12020.40 HUNNY 代幣
以7.78 WBNB 的價格賣出 HUNNY 代幣
50個錢包重復26次以上步驟
細節VaultStrategyAlpacaRabbit 合約池的_harvest()函數中,資產的兌換路由為 ALPACA => WBNB => TUSD,而 WBNB/TUSD 池中流動性較低,易被操縱。
在巨額兌換后,抬高了 WBNB 對 TUSD 的價格,攻擊者調用 harvest() 函數后,Vault 合約的 TUSD 利潤劇增,隨后調用 getReward() 函數,通過30%的 performanceFee 手續費鑄造 HUNNY 代幣,只要鑄造出的 HUNNY 代幣價值超過 30% 的 performanceFee 手續費,就有利可圖。
目前,PancakeHunny 官方已采取緊急措施,暫停了 TUSD Vault 合約的鑄幣。
總結
SUMMARIZE
此次 PancakeHunny 遭遇的閃電貸攻擊的本質原因在于底層資產兌換過程的價格易被操控,未做全面考慮和防護,從而使得攻擊者通過巨額資金操縱某一交易對價格進行攻擊套利。
近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
實驗室官網:www.knownseclab.com
Tags:PANUSDTUSDCAKEethereumpandaElectronic USDBITUSDDADDYCAKE
加密黑客、Rug Pull、經濟事件 … ?DeFi 中 50 起最大攻擊已造成了逾 50 億美元的損失,本文將介紹加密風險的實用指南.
1900/1/1 0:00:00近幾年,NFT作為一種獨特、稀缺、有趣的資產類別,火速席卷了各大圈子,誰也未曾料到,這場最初只是技術在藝術圈的小試牛刀,卻造就了現如今「NFT可萬物」的景象.
1900/1/1 0:00:00致力于挖掘HECO公鏈潛力項目,促進HECO生態繁榮。共同抵制無審計、合約代碼無開源的、虛假宣傳項目,維護良好HECO生態環境。對于故意宣傳抹黑友商項目、HECO品牌的讀者還請多擔待.
1900/1/1 0:00:00前言:「WebX實驗室」始終在嘗試一件事情,即作為業態觀察者,將Web 3.0從Gavin Wood的一個前瞻性設想,梳理成一個系統且具象化的故事.
1900/1/1 0:00:00?NFT銷售趨于平緩 這是NFT終結的開始嗎?最近,BAYC的藏家以及愛好者可謂是經歷了一場過山車式的情緒體驗,馬斯克將一張無聊猿蒙太奇圖片作為他的推特頭像.
1900/1/1 0:00:00去中心化自治組織(DAO)是一種基于區塊鏈的組織或公司形式,通常由原生加密代幣管理。任何購買并持有這些代幣的人都可以對與 DAO 直接相關的重要事項進行投票.
1900/1/1 0:00:00