前言
PREFACE
北京时间 10 月 20 日晚,知道创宇区块链安全实验室 监测到 BSC 链上的 DeFi 协议 PancakeHunny 的 WBNB/TUSD 池遭遇闪电贷攻击,HUNNY 代币价格闪崩。实验室第一时间跟踪本次事件并分析。
分析
ANALYZE
INX Digital Company宣布与Greenbriar Capital Corp达成合作:金色财经报道,加密交易所运营商INX Digital Company宣布与Greenbriar Capital Corp达成合作,Greenbriar 股票首次可以在公共区块链网络上进行交易。
Greenbriar Capital Corp 是可再生能源和可持续房地产项目的知名开发商,重点关注 ESG(环境、社会和治理)。公司股票以非代币形式在美国场外交易 (OTC) 市场以 GEBRF 代号进行交易,在多伦多证券交易所以 GRB 代号进行交易。[2023/4/9 13:52:36]
攻击者信息攻击者:0x731821D13414487ea46f1b485cFB267019917689
日本金融监管机构命令FTX Japan在6月9日之前保留在日本境内的资产:金色财经报道,日本关东地方财政局对FTX Japan提起行政诉讼,称FTX Japan资产与境外无关,需继续采取一切可能的措施防止此类信息泄露,要求FTX Japan从2023年3月10日至2023年6月9日保留在日本境内的资产。[2023/3/9 12:52:00]
攻击合约:0xa5312796DC20ADd51E41a4034bF1Ed481b708e71
第一次攻击tx:0x1b698231965b72f64d55c561634600b087154f71bc73fc775622a45112a94a77
StoboxCompany遭遇黑客攻击,Token跌幅96.93%:1 月 7 日,据PeckShieldAlert消息,数字资产服务商 StoboxCompany 遭遇黑客攻击,其官方表示私钥已泄露,目前其 Token 跌幅 96.93%。
StoboxCompany 官方表示,Stobox Token 的部署者地址被黑客入侵,由于 ETH 和 BSC 的部署者地址相同,因此所有储备资金都已被盗或清算。提醒用户停止购买/出售,官方将把 STBU 快照恢复到黑客攻击前的最后一笔交易。[2022/1/7 8:31:28]
VaultStrategyAlpacaRabbit:0x27d4cA4bB855e435959295ec273FA16FE8CaEa14
Pantera Capital提议将WBTC在Compound的抵押率提升至75%:Pantera Capital投资平台总监Franklin Bi发推称:代表Pantera Capital提议将将WBTC在Compound的抵押率提升至75%。如果抵押率提升至75%,那么存入100美元WBTC就可以借75美元其他资产。他提到,提升WBTC的抵押率是因为WBTC风险较小,目前以太坊WBTC流通量约40亿美元。目前Aave已经将WBTC抵押率提升至75%。[2021/2/2 18:40:25]
VaultStrategyAlpacaRabbit(proxy):0xef43313e8218f25Fe63D5ae76D98182D7A4797CC
攻击者从 Cream Finance 通过闪电贷获得 53.25 BTC
用 53.25 BTC 从 Venus 借出 2717107 TUSD
在 PancakeSwap 上,用 TUSD 兑换 BNB,抬高 BNB 价格
使用 50 个不同的钱包地址将 38250 TUSD 存入 HUNNY TUSD Vault 合约
赎回 2842.16 TUSD,并铸造 12020.40 HUNNY 代币
以7.78 WBNB 的价格卖出 HUNNY 代币
50个钱包重复26次以上步骤
细节VaultStrategyAlpacaRabbit 合约池的_harvest()函数中,资产的兑换路由为 ALPACA => WBNB => TUSD,而 WBNB/TUSD 池中流动性较低,易被操纵。
在巨额兑换后,抬高了 WBNB 对 TUSD 的价格,攻击者调用 harvest() 函数后,Vault 合约的 TUSD 利润剧增,随后调用 getReward() 函数,通过30%的 performanceFee 手续费铸造 HUNNY 代币,只要铸造出的 HUNNY 代币价值超过 30% 的 performanceFee 手续费,就有利可图。
目前,PancakeHunny 官方已采取紧急措施,暂停了 TUSD Vault 合约的铸币。
总结
SUMMARIZE
此次 PancakeHunny 遭遇的闪电贷攻击的本质原因在于底层资产兑换过程的价格易被操控,未做全面考虑和防护,从而使得攻击者通过巨额资金操纵某一交易对价格进行攻击套利。
近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
实验室官网:www.knownseclab.com
标签:PANUSDTUSDBTCBig Pandabusd币有什么用PlutusDAOHongKong BTC bank
今天圈内的头条消息:BSC链上又多一个爆雷项目——MetaSwap跑路。 据派顿检测发现,MetaSwap项目方跑路,盗走的资金(约325万美元)已转移至Tornado.cash混币.
1900/1/1 0:00:00不平凡的2020年要结束了,它让我们见证了太多历史。对很多行业及其从业者来说,2020年都是艰难的一年.
1900/1/1 0:00:00印度最高法院要求印度央行印度储备银行(RBI)回应银行加密禁令。据cointelegraph报道,在8月21日举行的关于RBI银行加密禁令的听证会上,法官裁定RBI没有适当回应加密货币行业对其禁.
1900/1/1 0:00:00今日,据律师Varun Sethi分享的信息称,印度禁止使用加密货币的草案已经公开。 时隔一年,这份被誉为“史上最严”的法案终于公之于众,此前,曾有言论称印度即将迎来翻版“94”,然而,根据这份.
1900/1/1 0:00:00据印度当地媒体“The Economic Times”5月16日报道,游说团体正对印度储备银行(印度央行)进行游说,试图说服该机构允许加密资产相关产品在监管沙盒中运行.
1900/1/1 0:00:00德国金融监管机构发布了将加密货币归类为金融工具的准则。此举进一步扩展了金融工具的定义,以涵盖所有类型的数字资产,而先前的版本仅涵盖了证券型通证.
1900/1/1 0:00:00
木星链