一、事件概览
北京时间6月3日11时11分,链必安-区块链安全态势感知平台舆情监测显示,BSC链上项目PancakeHunny遭遇黑客攻击。据统计,此次攻击事件中,黑客总共获利43ETH。面对又一起发生在BSC链上的项目被黑事件,成都链安·安全团队针对PancakeHunny被黑事件进行跟踪分析,以提醒BSC链上各大项目切实提高安全防范意识,警惕“黑色5月”阴云的持续笼罩。据了解,PancakeHunny是PancakeBunny的又一仿盘项目。在本次被黑事件中,黑客采取的攻击手法大体上与此前攻击PancakeBunny近似,均是在短时间内增发大量的代币并抛向市场,并引起了HunnyToken币价暴跌。
区块链项目Massa完成500万欧元融资,ZBSCapital等参投:11月11日消息,区块链项目Massa宣布完成500万欧元融资,本轮融资由BlueYard、Acecap、Numeus、CharlieSonghurst、Dascof、Mediapps、ArianeCapital、AnduranceVentures、AussieCapital、ZBSCapital、Bpifrance参投。据悉,Massa测试网于7月17日上线,目前处于第三阶段,开发者正着手研发其智能合约功能。[2021/11/11 6:46:25]
0x旗下DEX聚合器Matcha现已在ETH和BSC网络集成DeFi应用Smoothy.finance:4月15日消息,0x旗下DEX聚合器Matcha宣布已经集成低滑点和高收益DeFi应用Smoothy.finance,其用户现在将能够利用Smoothy作为稳定币间互换流动性来源。Smoothy.finance将为Matcha提供包括来自ETH和BSC网络共计超过1.3亿美元的流动性。
Smoothy是一种新颖的流动性协议,在支持多种同一资产锚定币的基础上,具有单池、低费用、零滑点和高质押收益的特征。即,在一个稳定币池里,可以实现多种稳定币的互换,而其提供的无滑点互换范围和收益远超同类产品。
目前Smoothy.finance正在ETH和BSC网络进行盲挖活动,整体盲挖活动将在4月20日结束。[2021/4/15 20:23:18]
二、事件分析
MDEX.COM将于4月8日20:00(UTC+8)开启BSC流动性挖矿及交易挖矿:根据官方消息,MDEX.COM将于4月8日20:00(UTC+8)开启BSC流动性挖矿及交易挖矿,用户可于4月8日15:00(UTC+8)开始进行单币质押及流动性挖矿LP质押,此时段并无质押奖励。用户可在流动性挖矿及交易挖矿启动后,在官方展示页面查看挖矿币种。
4月8日19:30--4月18日19:30期间,MDEX将为MDX/HMDX、USDT/HUSD提供初始流动性,MDX/HMDX流动性矿池LP分别提供10万枚MDX及10万枚HMDX,USDT/HUSD流动性矿池LP分别提供1万枚MDX等值USDT及1万枚MDX等值HUSDT,MDEX团队提供MDX/HMDX初始流动性将不参与挖矿奖励。
MDEX部署BSC后,平台代币MDX的总供应量仍约为10亿枚。[2021/4/8 19:58:39]
成都链安·安全团队针对被黑代码展开跟踪分析,根据已披露的线索和攻击交易上来看,黑客主要是利用了HunnyMinter函数的设计缺陷进行了攻击,如下图所示:
需要注意的是,mintFor函数用于将收取的手续费转化为HunnyToken并返还给用户;但在读取需要转换的手续费时,错误地使用了balanceOf做为参数,且在兑换HunnyToken时,使用的是固定兑换比例,这给了黑客发动攻击的可乘之机。
黑客首先向hunnyMinter合约中打入了56个cake代币;再同时调用CakeFilpValut合约中的getReward函数,间接触发了hunnyMinter中的mintFor函数。此时hunnyMinter合约中因存在黑客打入的cake,导致能够兑换大量的HunnyToken;而此时的HunnyToken的价格,已经超过设定的固定值,这使得此处存在套利空间。后续黑客一直使用相同方法进行套利,直至项目方置零固定兑换比例hunnyPerProfitBNB。
三、事件复盘
不难看出,此次事件是又一次发生在BSC链上的仿盘项目的被黑事件。结合5月多起诸如Merlin、AutoSharkFinance等FORK项目被黑经历来看,黑客针对BSC链上仿盘项目的攻击态势仍然在持续发酵。在此,成都链安提醒各大FORK项目尤其需要注重安全风险,加强安全防范工作,切勿懈怠。同时,针对项目本身的开发和创新,我们建议开发者需要对原生项目进行深入理解,切勿一味地照搬和模仿;特别是在安全建设方面,在同步原生项目的安全防护策略之外,也需要联动第三方安全公司的力量,建立一套独立自主的安全风控体系,以应对各类突发的安全风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。