事件概览
北京时间6月3日11时11分,链必安-区块链安全态势感知平台舆情监测显示,BSC链上项目PancakeHunny遭遇黑客攻击。据统计,此次攻击事件中,黑客总共获利43ETH。
面对又一起发生在BSC链上的项目被黑事件,成都链安·安全团队第一时间启动安全应急响应,针对PancakeHunny被黑事件进行跟踪分析,以提醒BSC链上各大项目切实提高安全防范意识,警惕“黑色5月”阴云的持续笼罩。
据了解,PancakeHunny是PancakeBunny的又一仿盘项目。在本次被黑事件中,黑客采取的攻击手法大体上与此前攻击PancakeBunny近似,均是在短时间内增发大量的代币并抛向市场,并引起了HunnyToken币价暴跌。
HDLSWAP将于6月16日同步上线HECO和BSC:据官方消息,HDLSWAP已通过安全审计,将于6月16日21:00点同步上线HECO和BSC。据介绍,韩国浦项区块链技术团队携手原有以太坊技术人员打造的HDLSWAP具有BTC模型SWAP,创世区块800万枚HDL,占总量6.16%,分配于天使轮、技术团队和投资机构;剩余93.84%由IDO产出,天使轮资金将逐步投入HDLSWAP流动池。
HDLSWAP2.0上线,让区块链资产在自治的同时,DeFi交易更加便捷,IDO项目选择性、操作性更强,NFT功能性更广。[2021/6/13 23:34:01]
Polkastarter上线多链IDO池,兼容以太坊和BSC:Polkastarter宣布上线多链IDO池,兼容以太坊和BSC。从Genesis Shards IDO池可以看到,Public池接收BNB,而POLS池接收ETH。[2021/4/14 20:19:57]
事件分析
成都链安·安全团队针对被黑代码展开跟踪分析,根据已披露的线索和攻击交易上来看,黑客主要是利用了HunnyMinter函数的设计缺陷进行了攻击,如下图所示:
BSC项目Cream.Finance疑遭黑客攻击:2月13日消息,币安智能链Cream.Finance官方发推称发现项目漏洞并正在调查,有媒体称币安智能链Cream.Finance协议疑似遭到黑客利用。[2021/2/13 19:41:34]
需要注意的是,mintFor函数用于将收取的手续费转化为HunnyToken并返还给用户;但在读取需要转换的手续费时,错误地使用了balanceOf做为参数,且在兑换HunnyToken时,使用的是固定兑换比例,这给了黑客发动攻击的可乘之机。
黑客首先向hunnyMinter合约中打入了56个cake代币;再同时调用CakeFilpValut合约中的getReward函数,间接触发了hunnyMinter中的mintFor函数。
此时hunnyMinter合约中因存在黑客打入的cake,导致能够兑换大量的HunnyToken;而此时的HunnyToken的价格,已经超过设定的固定值,这使得此处存在套利空间。后续黑客一直使用相同方法进行套利,直至项目方置零固定兑换比例hunnyPerProfitBNB。
事件复盘
不难看出,此次事件是又一次发生在BSC链上的仿盘项目的被黑事件。结合5月多起诸如Merlin、AutoSharkFinance等FORK项目被黑经历来看,黑客针对BSC链上仿盘项目的攻击态势仍然在持续发酵。在此,成都链安提醒各大FORK项目尤其需要注重安全风险,加强安全防范工作,切勿懈怠。
同时,针对项目本身的开发和创新,我们建议开发者需要对原生项目进行深入理解,切勿一味地照搬和模仿;特别是在安全建设方面,在同步原生项目的安全防护策略之外,也需要联动第三方安全公司的力量,建立一套独立自主的安全风控体系,以应对各类突发的安全风险。
标签:UNNBSCANCCAKEsunny币行情Meta Shiba BSCVent FinanceDADDYCAKE币
不鸣则已,一鸣惊人。美国货币基础的扩张一向如此。“印钞机”,美国总统拜登的财政预算坐实了他的这一称号.
1900/1/1 0:00:00作者|二十三画生?编辑|郝方舟出品?|?Odaily星球日报OKEx欧易行情显示,5月19日,比特币从44000美元开始下跌,晚间9点最低下探至29000美元.
1900/1/1 0:00:00基于姚前对中国DCEP与以太坊世界融合的立场,和V神对Layer2、以太坊2.0的筹谋与信心,火星投研认为我们正在走向一个全新的、多元的、繁荣的加密经济生态,而价值投资的机会也在向我们招手.
1900/1/1 0:00:00一、NFT市场热度说明什么?当前NFT市场热度很高,一方面说明NFT技术确实具有解决包括确权、物品特定化、数字物品交易智能化等问题的能力.
1900/1/1 0:00:00本文作者为bloXrouteCo-founder&COOEyalMarkovich, 对MEV的恐惧对于大多数以太坊用户来说,MEV这个词是很可怕的.
1900/1/1 0:00:006月5日,“2021加密艺术之舞:趋势、未来与投资机遇”加密艺术论坛在中国未来区块链创新中心正式开幕。本届论坛由巴比特、CryptoC联合联合主办.
1900/1/1 0:00:00