一、事件概览
北京时间6月3日11时11分,链必安-区块链安全态势感知平台舆情监测显示,BSC链上项目PancakeHunny遭遇黑客攻击。据统计,此次攻击事件中,黑客总共获利43ETH。
面对又一起发生在BSC链上的项目被黑事件,成都链安·安全团队针对PancakeHunny被黑事件进行跟踪分析,以提醒BSC链上各大项目切实提高安全防范意识,警惕“黑色5月”阴云的持续笼罩?。
DeFi协议ApeRocket官方:闪电贷共造成126万美元损失,将在BSC上发布V2以重启:官方消息,DeFi收益挖矿聚合和优化器ApeRocket发布闪电贷攻击详情和补偿方案,ApeRocket的BSC版本和Polygon版本分别在4:30 AM和8:00 AM(UTC)遭遇闪电贷攻击,分别损失26万美元和100万美元。ApeRocket表示,将尝试补偿所有受问题影响的用户以及在攻击前持有SPACE / pSPACE的用户。对于BSC版本,ApeRocket正在开发V2,计划很快在这个新版本下重新启动网站。ApeRocket将开放一个清算池,还计划建立回购和销毁来提高价格。对于Polygon版本,因为发布比较匆忙,没有其他解决方案,只能设置一个新代币,并将此新代币分配给所有持有pSPACE的用户。ApeRocket还将使用Aperocket V2在Polygon中累积的绩效费用,采用积极的回购策略。
此前消息,据PeckShield派盾预警显示,Aperocket.finance遭到闪电贷攻击,代币Space闪跌75%,请用户注意风控。[2021/7/15 0:53:42]
据了解,PancakeHunny是PancakeBunny的又一仿盘项目。在本次被黑事件中,黑客采取的攻击手法大体上与此前攻击PancakeBunny近似,均是在短时间内增发大量的代币并抛向市场,并引起了HunnyToken币价暴跌。
TeraBlock在BSCPad通过IDO融资294万美元:英国加密货币交易所TeraBlock在BSCPad上发行TBC代币,通过IDO筹集294万美元。
据此前报道,加密货币交易所TeraBlock宣布完成240万美元战略和私募融资,AU21 Capital、Blockchain.com、Blocksync Ventures、BTX Capital、CryptoDormFund等参投。(Cryptoslate)[2021/5/25 22:41:13]
二、事件分析
RiceQuant已于3月10日20:00同步上线火币生态链Heco和币安智能链BSC:3月10日消息,基于生态治理代币质押借贷场景的金融服务协议RiceQuant已于3月10日20:00同步上线火币生态链Heco主网和币安智能链BSC主网,将于21:00开启挖矿。交易者可以使用不同的质押借贷产品,或平台Token进行倍数挖矿。RiceQuant将以3月9日为区块快照时间,对火币生态链Heco上Mdex流动性提供者前5000名和币安智能链BSC上流动性提供者前5000名,各随机选取500名进行空投。空投后可在官网领取。
RiceQuant全球社区IDO白名单报名活动征集了超过3000份认购申请,将竞逐900名认购名额,IDO额度仅为103680枚RICE,另有挖矿产出22924800枚。据公开消息,该项目2020年开始开发,创始主创成员来自欧洲,为早期以太坊社区参与者,致力于提升治理代币资金利用效率和治理权资源优化配置。RiceQuant将成为同步在Heco和BSC登陆亮相的金融协议。该项目已经过Hacken.io的安全审计服务。[2021/3/10 18:33:10]
成都链安·安全团队针对被黑代码展开跟踪分析,根据已披露的线索和攻击交易上来看,黑客主要是利用了HunnyMinter函数的设计缺陷进行了攻击,如下图所示:
需要注意的是,mintFor函数用于将收取的手续费转化为HunnyToken并返还给用户;但在读取需要转换的手续费时,错误地使用了balanceOf做为参数,且在兑换HunnyToken时,使用的是固定兑换比例,这给了黑客发动攻击的可乘之机。
黑客首先向hunnyMinter合约中打入了56个cake代币;再同时调用CakeFilpValut合约中的getReward函数,间接触发了hunnyMinter中的mintFor函数。
此时hunnyMinter合约中因存在黑客打入的cake,导致能够兑换大量的HunnyToken;而此时的HunnyToken的价格,已经超过设定的固定值,这使得此处存在套利空间。后续黑客一直使用相同方法进行套利,直至项目方置零固定兑换比例hunnyPerProfitBNB。
三、事件复盘
不难看出,此次事件是又一次发生在BSC链上的仿盘项目的被黑事件。结合5月多起诸如Merlin、AutoSharkFinance等FORK项目被黑经历来看,黑客针对BSC链上仿盘项目的攻击态势仍然在持续发酵。在此,成都链安提醒各大FORK项目尤其需要注重安全风险,加强安全防范工作,切勿懈怠。
同时,针对项目本身的开发和创新,我们建议开发者需要对原生项目进行深入理解,切勿一味地照搬和模仿;特别是在安全建设方面,在同步原生项目的安全防护策略之外,也需要联动第三方安全公司的力量,建立一套独立自主的安全风控体系,以应对各类突发的安全风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。