前言
世界时5月20日10:34:28,币安智能链DeFi收益聚合器PancakeBunny遭到来自外部开发人员的闪电贷攻击,黑客利用闪电贷套利114631个BNB,大约4000W美元,涉及金额巨大。知道创宇区块链安全实验室旨在通过全盘梳理攻击流程和代码细节,一窥闪电贷套利的秘密。基础信息
攻击者地址:0xa0acc61547f6bd066f7c9663c17a312b6ad7e187攻击合约地址:0xcc598232a75fb1b361510bce4ca39d7bc39cf498攻击交易hash:0x897c2de73dd55d7701e1b69ffb3a17b0f4801ced88b0c75fe1551c5fcce6a979黑客利用闪电贷借大量BNB,通过PancakeSwap操纵USDT/BNB以及BUNNY/BNB价格,获得大量BUNNY后再进行抛售,导致BUNNY价格闪崩,并且从中获利。实验室就该次攻击事件进行分析,在链上查询到了交易链接以及攻击合约地址。攻击合约地址:0xcc598232a75fb1b361510bce4ca39d7bc39cf498攻击交易链接及截图:https://bscscan.com/tx/0x897c2de73dd55d7701e1b69ffb3a17b0f4801ced88b0c75fe1551c5fcce6a979
YouTuber网红Logan Paul宣传的币安智能链项目Dink Doink或为局:YouTuber网红LoganPaul因宣传一种名为DinkDoink的可疑加密货币而备受关注,这个币安智能链项目或是一个加密局,其发行的DINK代币是币安智能链DEXPancakeSwap上可用的BEP20代币,但到目前为止,唯一可用的交易对是DINK/BNB,BNB是币安交易所发行的平台币。根据DinkDoink的说法,其代币最大供应量为10万亿枚,目前市值为170万美元,在6月28日,DINK价格创下历史新高达到0.00000000227726美元,涨幅高达40,000%,但现在已经出现暴跌,本文撰写时只有0.0000000001684美元。七月早些时候,包括FaZeClan和Ricegum成员在内的YouTube网红也被指控炒作一个名为SaveTheChildren的代币,名人代言加密货币项目值得关注。[2021/7/12 0:45:54]
MDEX上线币安智能链BSC 20分钟TVL超8亿美元:据MDEX.COM官方数据显示,MDEX上线币安智能链BSC20分钟,TVL超8亿美元。[2021/4/8 19:59:31]
图1
图2
Chris David:BSC.TOOLS让币安智能链(BSC)上的交易更加专业:3月17日晚,BSC.TOOLS创始人Chris David 做客抹茶社区,介绍了BSC.TOOLS项目相关内容。BSC.Tools是一套专注于币安智能链(BSC)去中心化交易所的交易和数据分析工具,支持跟踪实时数据分析、创建交易策略以及赚取利润,为机制的BSC交易体验而打造。
Chris David表示:“我们开发了首个去中心化金融(DeFi)界面,旨在提升BSC上的交易体验。我们的主要目标是为交易用户和投资者提供监控您最喜爱的BSC交易对并制定高级交易策略的可能性。”
BSC.Tools与交易用户分享基于BSC从DeFi交易所的链上和实时交易数据。通过这种方式,用户可以获得历史数据、K线图和每个平台上的交易记录。[2021/3/17 18:54:04]
图3攻击步骤详解
1.攻击者先调用图2交易,进行了一次抵押,此时会产生抵押奖励;2.然后攻击者通过图1的交易从闪电贷平台借出大量BNB和USDT,通过PancakeSwap的交易对去添加流动性获取lp代币,并将lp代币留在了交易对合约中;3.因为攻击者进行过抵押,然后通过调用图3中VaultFlipToFlip合约的getReward函数来获取BUNNY代币奖励并取回移除先前添加的流动性,然而在奖励计算时,获取BUNNY数量的逻辑出现问题导致产生大量的BUNNY代币,并通过PancakeSwap兑换成BNB,造成了BUNNY价格暴跌;4.通过3步骤得到BNB之后归还到闪电贷地址,并从中获利114631个BNB,价值大约4000W美元。总结
本次攻击事件,攻击者在一笔交易中完成了一系列借用、兑换、获取奖励、归还闪电贷等操作,其主要原因还是项目在计算抵押奖励时获取lp价格出现了逻辑问题,导致黑客利用这一漏洞进行了攻击。
目前,我们在项目方的twitter上注意到,项目方已经暂停了一些项目的存取款功能,并商讨安全修复方案和赔偿计划。如果有新的进展,实验室会在第一时间跟进和分析,请持续关注!
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。