PancakeHunny 攻擊事件分析-ODAILY_BIT

前言

北京時間10月20日晚，知道創宇區塊鏈安全實驗室監測到BSC鏈上的DeFi協議PancakeHunny的WBNB/TUSD池遭遇閃電貸攻擊，HUNNY代幣價格閃崩。實驗室第一時間跟蹤本次事件并分析。

分析

Bitpanda 提議將客戶存款轉移至貨幣市場基金:金色財經報道，奧地利金融科技獨角獸 Bitpanda 推出Bitpanda Cash Plus，這是一項新功能，可為投資者提供行業領先的現金存款收益率。Bitpanda Cash Plus 提供適合長期投資者的回報，而 Bitpanda Leverage 專門針對短期交易策略。[2023/6/16 21:41:02]

攻擊者信息

攻擊者：

0x731821D13414487ea46f1b485cFB267019917689

Pantera Capital CEO：以太坊升級、ESG和DeFi將幫助ETH跑贏BTC:Pantera Capital CEO Dan Morehead周一在路透社全球市場論壇上表示，以太坊平臺的潛在應用（DeFi）、較低的環境影響（ESG）以及技術升級（EIP 1559）將幫助ETH繼續跑贏BTC。他說以太坊計劃于周三上線的EIP 1559升級將顯著改變以太坊區塊鏈上的交易處理方式，同時減少ETH供應，這有助于讓ETH變得更像一種固定資產。想存儲財富的人將不再局限于BTC，會更多選擇ETH。相比BTC的大量碳足跡，升級后的以太坊2.0將減少ETH挖礦能耗。

以太坊區塊鏈的DeFi應用也將支撐ETH的價格。盡管如此，Morehead仍看好BTC的走勢，他估計到2021年底，BTC將達到8-9萬美元，并會在一年內升至12萬美元以上。十年內，隨著主流滲透率的增加，BTC有望上漲至70萬美元。Pantera管理著28億美元的區塊鏈相關資產，已投資多家加密交易所，包括Bitstamp、Coinbase及墨西哥的Bitso等地區交易所。（路透社）[2021/8/3 1:31:19]

攻擊合約：

BITPoint Japan日本交易所即將上線TRX并開通TRX/JPY交易對:據最新消息，BITPoint Japan日本交易所將于2021年3月17日10:00（新加坡時間）上線波場TRON（TRX）并開通TRX/JPY交易對。

BITPoint Japan株式會社，是日本最早的持牌數字資產交易所之一（數字資產交易所 關東財務局長 第00009號），同時也是一般社團法人日本數字資產交易所協會（JVCEA）, 公益社團法人日本監事協會成員。[2021/3/10 18:31:58]

0xa5312796DC20ADd51E41a4034bF1Ed481b708e71

Pantera Capital創始人：目前是購買BTC的好時機:據Coinpedia消息，Pantera Capital創始人Dan Morehead建議應在BTC現在便宜的時候購買BTC，另外他還建議如果BTC突破了它的230日均線（9976.72美元），應當買入，等一年后就賣出。[2018/6/1]

第一次攻擊tx：

0x1b698231965b72f64d55c561634600b087154f71bc73fc775622a45112a94a77

被攻擊池信息

VaultStrategyAlpacaRabbit：0x27d4cA4bB855e435959295ec273FA16FE8CaEa14

VaultStrategyAlpacaRabbit：0xef43313e8218f25Fe63D5ae76D98182D7A4797CC

攻擊流程

攻擊者從CreamFinance通過閃電貸獲得53.25BTC

用53.25BTC從Venus借出2717107TUSD

在PancakeSwap上，用TUSD兌換BNB，抬高BNB價格

使用50個不同的錢包地址將38250TUSD存入HUNNYTUSDVault合約

贖回2842.16TUSD，并鑄造12020.40HUNNY代幣

以7.78WBNB的價格賣出HUNNY代幣

50個錢包重復26次以上步驟

細節

VaultStrategyAlpacaRabbit合約池的_harvest()函數中，資產的兌換路由為ALPACA=>WBNB=>TUSD，而WBNB/TUSD池中流動性較低，易被操縱。

在巨額兌換后，抬高了WBNB對TUSD的價格，攻擊者調用harvest()函數后，Vault合約的TUSD利潤劇增，隨后調用getReward()函數，通過30%的performanceFee手續費鑄造HUNNY代幣，只要鑄造出的HUNNY代幣價值超過30%的performanceFee手續費，就有利可圖。

目前，PancakeHunny官方已采取緊急措施，暫停了TUSDVault合約的鑄幣。

總結

此次PancakeHunny遭遇的閃電貸攻擊的本質原因在于底層資產兌換過程的價格易被操控，未做全面考慮和防護，從而使得攻擊者通過巨額資金操縱某一交易對價格進行攻擊套利。

近期，各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：PANBTCBITUSDSuperPandaBTCONE幣bitpiecom官網下載正版gusdt幣最新消息

幣安交易所app下載