前言
PREFACE
北京時間 10 月 20 日晚,知道創宇區塊鏈安全實驗室 監測到 BSC 鏈上的 DeFi 協議 PancakeHunny 的 WBNB/TUSD 池遭遇閃電貸攻擊,HUNNY 代幣價格閃崩。實驗室第一時間跟蹤本次事件并分析。
分析
ANALYZE
Bitpanda回應“超7300萬美元內部資產轉移”:不會對用戶資產產生任何影響:8月11日消息,加密貨幣交易所Bitpanda最近發生了價值超過7300萬美元的大規模內部資產轉移,涉及資產包括SHIB、LINK、CHZ和ETH等主流幣,這引起了加密貨幣社區用戶和利益相關者的一些關注和擔憂。
Bitpanda官方人員回應稱,此次大規模轉賬僅僅是內部行為。聲明中寫道,我們正在托管基礎設施內執行預定的內部資產轉移。” 值得注意的是,這些變動也將影響Pantos和BEST代幣錢包。
Bitpanda強調,此類內部活動不會對用戶資產產生任何影響。[2023/8/11 16:20:38]
攻擊者信息攻擊者:0x731821D13414487ea46f1b485cFB267019917689
Bitpanda推出以DeFi、元宇宙等為主題的四個加密指數:金色財經報道,加密投資平臺 Bitpanda 推出了四個新的主題加密指數。?這些指數允許用戶投資預設的加密投資組合,獲得與DeFi、元宇宙、智能合約和基礎設施主題相關的硬幣和代幣。指數會根據市場變化自動重新平衡。?
聯合創始人兼首席執行官 Eric Demuth 在聲明中稱,通過 Bitpanda 加密指數,我們為客戶提供了接觸加密市場并開始投資加密的機會。現在,是時候采取明顯的下一步行動了,這四個新的加密貨幣指數讓人們有機會投資于他們熱衷的領域。沒有麻煩,無需不斷研究新的加密貨幣項目,這只是一種讓每個人都可以多樣化其投資組合的簡單方法。[2022/7/14 2:13:31]
攻擊合約:0xa5312796DC20ADd51E41a4034bF1Ed481b708e71
Pantera Capital CIO:以太坊市場主導地位不會受到威脅:1月10日消息,美國加密貨幣投資公司 Pantera Capital 的聯席 CEO Joey Krug 在最近的一次采訪中表示,“即使所謂的‘以太坊 (ETH) 殺手’網絡爆炸式增長,它也不會威脅到世界上最常用的以太坊區塊鏈的市場主導地位。” 他預計在 10-20 年內,全球超過 50% 的金融交易將以某種方式連接到以太坊網絡。如果以太坊切換為權益證明(PoS)機制,許多競爭項目最終將更加依賴以太坊。據了解,Pantera 是最早的數字資產投資公司之一,以 58 億美元的資產位居加密基金前五名。(彭博社)[2022/1/10 8:38:09]
第一次攻擊tx:0x1b698231965b72f64d55c561634600b087154f71bc73fc775622a45112a94a77
Pantera Capital CEO:比特幣是當前金融危機的解決方案:7月31日消息,加密貨幣風險投資公司Pantera Capital首席執行官Dan Morehead表示,為了應對疫情導致的金融危機,美國政府6月份印鈔數量比美國建國頭兩個世紀印鈔總和都要多。而Dan Morehead明確表示,Pantera Capital將比特幣視為當前危機的解決方案。(Cointelegraph)[2020/7/31]
VaultStrategyAlpacaRabbit:0x27d4cA4bB855e435959295ec273FA16FE8CaEa14
VaultStrategyAlpacaRabbit(proxy):0xef43313e8218f25Fe63D5ae76D98182D7A4797CC
攻擊者從 Cream Finance 通過閃電貸獲得 53.25 BTC
用 53.25 BTC 從 Venus 借出 2717107 TUSD
在 PancakeSwap 上,用 TUSD 兌換 BNB,抬高 BNB 價格
使用 50 個不同的錢包地址將 38250 TUSD 存入 HUNNY TUSD Vault 合約
贖回 2842.16 TUSD,并鑄造 12020.40 HUNNY 代幣
以7.78 WBNB 的價格賣出 HUNNY 代幣
50個錢包重復26次以上步驟
細節VaultStrategyAlpacaRabbit 合約池的_harvest()函數中,資產的兌換路由為 ALPACA => WBNB => TUSD,而 WBNB/TUSD 池中流動性較低,易被操縱。
在巨額兌換后,抬高了 WBNB 對 TUSD 的價格,攻擊者調用 harvest() 函數后,Vault 合約的 TUSD 利潤劇增,隨后調用 getReward() 函數,通過30%的 performanceFee 手續費鑄造 HUNNY 代幣,只要鑄造出的 HUNNY 代幣價值超過 30% 的 performanceFee 手續費,就有利可圖。
目前,PancakeHunny 官方已采取緊急措施,暫停了 TUSD Vault 合約的鑄幣。
總結
SUMMARIZE
此次 PancakeHunny 遭遇的閃電貸攻擊的本質原因在于底層資產兌換過程的價格易被操控,未做全面考慮和防護,從而使得攻擊者通過巨額資金操縱某一交易對價格進行攻擊套利。
近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
實驗室官網:www.knownseclab.com
前言:在藍狐筆記看來,2019年是DeFi元年,也是整個加密世界第二個最大的突破。但是,我們也看到DeFi在2019年底進入了瓶頸期,其高門檻阻礙了更多用戶的進入,這里包括高抵押率、使用門檻等.
1900/1/1 0:00:00今年上半年,DeFi出盡了數字貨幣領域的風頭,鎖倉量短時間突破110億美金,錢包下載數量超過5000個.
1900/1/1 0:00:00近期Kucoin被盜,okex不能提幣事件中,也已經充分暴露出中心化交易所的風險。 脆弱的中心化的交易所: 1. 技術風險 服務器軟件漏洞、配置不當、DDoS攻擊、服務端Web程序漏洞(包括技術.
1900/1/1 0:00:00當你工作時,如果有10個陌生人在你的虛擬辦公室中游蕩,有人說他們很了解你,并想與你一起工作;另一些人問你,他們是否可以四處看看.
1900/1/1 0:00:00在成長過程中,我們很多人都夢想成為職業運動員。進球、擊出本壘打、投下三分球或擊出一個底線正手制勝球時那種腎上腺素飆升的感覺是所有人都渴望的.
1900/1/1 0:00:00DAO作為當下風靡全球的自組織,以其廣納人才和高效協作的特色備受青睞。區別于傳統公司,DAO組織不需要辦公場地,成員間也不需要互相認識,甚至不需要工作交接.
1900/1/1 0:00:00