BSC鏈上項目再遭黑客攻擊 PancakeHunny被黑事件簡析_ANC

一、事件概覽

北京時間6月3日11時11分，鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示，BSC鏈上項目PancakeHunny遭遇黑客攻擊。據統計，此次攻擊事件中，黑客總共獲利43ETH。

面對又一起發生在BSC鏈上的項目被黑事件，成都鏈安·安全團隊第一時間啟動安全應急響應，針對PancakeHunny被黑事件進行跟蹤分析，以提醒BSC鏈上各大項目切實提高安全防范意識，警惕“黑色5月”陰云的持續籠罩。

據了解，PancakeHunny是PancakeBunny的又一仿盤項目。在本次被黑事件中，黑客采取的攻擊手法大體上與此前攻擊PancakeBunny近似，均是在短時間內增發大量的代幣并拋向市場，并引起了HunnyToken幣價暴跌。

過去24小時BSC鏈上NFT銷售額超4000萬美元，超越以太坊排名第一:金色財經報道，據 cryptoslam 數據顯示，過去 24 小時 BSC 鏈上 NFT 銷售額超4000萬美元，本文撰寫時為 4,621,590 美元，增幅達到 9407.11%，成為交易額最高的區塊鏈，當前 BSC 鏈上 NFT 交易總額已突破 1.7 億美元。數據顯示，過去 24 小時 BSC 鏈上交易額增長最快的兩個 NFT 項目分別是 Baby Wealthy Club（41,653,667 美元）和 ForthBox Tower NFT（2,361,129 美元）。[2022/6/26 1:31:40]

二、事件分析

歐科云鏈OKLink正式上線BSC區塊鏈瀏覽器:1月19日，歐科云鏈OKLink官網正式上線BSC區塊鏈瀏覽器。目前，OKLink多公鏈瀏覽器覆蓋了12條主流公鏈。此次BSC區塊鏈瀏覽器的上線，將為BSC生態用戶帶來流暢、準確、即時、豐富的BEP20/721/1155鏈上數據和指標服務。

歐科云鏈是領先的區塊鏈大數據服務商，目前已推出OKLink多公鏈瀏覽器、鏈上天眼、鏈上大師等產品。BSC區塊鏈瀏覽器是歐科云鏈2022年交付上線的第一個瀏覽器產品。未來，歐科云鏈將陸續上線Polygon、Solana等瀏覽器，為海內外區塊鏈用戶提供更為豐富、流暢、準確的全公鏈數據服務。[2022/1/20 9:01:14]

成都鏈安·安全團隊針對被黑代碼展開跟蹤分析，根據已披露的線索和攻擊交易上來看，黑客主要是利用了HunnyMinter函數的設計缺陷進行了攻擊，如下圖所示：

基于BSC的Arbix Finance協議被CertiK標記為Rug Pull:區塊鏈安全公司CertiK已將基于Binance Smart Chain的流動性挖礦協議Arbix Finance標記為“Rug Pull”（拉地毯）項目。根據CertiK的事件分析，Arbix Finance項目顯示了太多的危險信號。CertiK稱：“ARBX合約只有所有者功能的mint()，1000萬個ARBX代幣被鑄造到了8個地址”。CertiK還確認有450萬個ARBX被鑄造到一個地址，之后“450萬個鑄造的代幣被丟棄。”另一個危險信號是1000萬美元的用戶資金。這筆資金在存入后被定向到未經驗證的池中，黑客最終獲得了所有訪問權限，耗盡了全部1000萬美元的資產。（Coingape）[2022/1/6 8:27:48]

需要注意的是，mintFor函數用于將收取的手續費轉化為HunnyToken并返還給用戶；但在讀取需要轉換的手續費時，錯誤地使用了balanceOf做為參數，且在兌換HunnyToken時，使用的是固定兌換比例，這給了黑客發動攻擊的可乘之機。

黑客首先向hunnyMinter合約中打入了56個cake代幣；再同時調用CakeFilpValut合約中的getReward函數，間接觸發了hunnyMinter中的mintFor函數。

此時hunnyMinter合約中因存在黑客打入的cake，導致能夠兌換大量的HunnyToken；而此時的HunnyToken的價格，已經超過設定的固定值，這使得此處存在套利空間。后續黑客一直使用相同方法進行套利，直至項目方置零固定兌換比例hunnyPerProfitBNB。

三、事件復盤

不難看出，此次事件是又一次發生在BSC鏈上的仿盤項目的被黑事件。結合5月多起諸如Merlin、AutoSharkFinance等FORK項目被黑經歷來看，黑客針對BSC鏈上仿盤項目的攻擊態勢仍然在持續發酵。在此，成都鏈安提醒各大FORK項目尤其需要注重安全風險，加強安全防范工作，切勿懈怠。

同時，針對項目本身的開發和創新，我們建議開發者需要對原生項目進行深入理解，切勿一味地照搬和模仿；特別是在安全建設方面，在同步原生項目的安全防護策略之外，也需要聯動第三方安全公司的力量，建立一套獨立自主的安全風控體系，以應對各類突發的安全風險。

Tags：BSCUNNANC區塊鏈SHIBSCBUNNYnoob.finance有人拉你做區塊鏈

聚幣