比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > 聚幣 > Info

BSC鏈上項目再遭黑客攻擊 PancakeHunny被黑事件簡析_ANC

Author:

Time:1900/1/1 0:00:00

一、事件概覽

北京時間6月3日11時11分,鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示,BSC鏈上項目PancakeHunny遭遇黑客攻擊。據統計,此次攻擊事件中,黑客總共獲利43ETH。

面對又一起發生在BSC鏈上的項目被黑事件,成都鏈安·安全團隊第一時間啟動安全應急響應,針對PancakeHunny被黑事件進行跟蹤分析,以提醒BSC鏈上各大項目切實提高安全防范意識,警惕“黑色5月”陰云的持續籠罩。

據了解,PancakeHunny是PancakeBunny的又一仿盤項目。在本次被黑事件中,黑客采取的攻擊手法大體上與此前攻擊PancakeBunny近似,均是在短時間內增發大量的代幣并拋向市場,并引起了HunnyToken幣價暴跌。

過去24小時BSC鏈上NFT銷售額超4000萬美元,超越以太坊排名第一:金色財經報道,據 cryptoslam 數據顯示,過去 24 小時 BSC 鏈上 NFT 銷售額超4000萬美元,本文撰寫時為 4,621,590 美元,增幅達到 9407.11%,成為交易額最高的區塊鏈,當前 BSC 鏈上 NFT 交易總額已突破 1.7 億美元。數據顯示,過去 24 小時 BSC 鏈上交易額增長最快的兩個 NFT 項目分別是 Baby Wealthy Club(41,653,667 美元)和 ForthBox Tower NFT(2,361,129 美元)。[2022/6/26 1:31:40]

二、事件分析

歐科云鏈OKLink正式上線BSC區塊鏈瀏覽器:1月19日,歐科云鏈OKLink官網正式上線BSC區塊鏈瀏覽器。目前,OKLink多公鏈瀏覽器覆蓋了12條主流公鏈。此次BSC區塊鏈瀏覽器的上線,將為BSC生態用戶帶來流暢、準確、即時、豐富的BEP20/721/1155鏈上數據和指標服務。

歐科云鏈是領先的區塊鏈大數據服務商,目前已推出OKLink多公鏈瀏覽器、鏈上天眼、鏈上大師等產品。BSC區塊鏈瀏覽器是歐科云鏈2022年交付上線的第一個瀏覽器產品。未來,歐科云鏈將陸續上線Polygon、Solana等瀏覽器,為海內外區塊鏈用戶提供更為豐富、流暢、準確的全公鏈數據服務。[2022/1/20 9:01:14]

成都鏈安·安全團隊針對被黑代碼展開跟蹤分析,根據已披露的線索和攻擊交易上來看,黑客主要是利用了HunnyMinter函數的設計缺陷進行了攻擊,如下圖所示:

基于BSC的Arbix Finance協議被CertiK標記為Rug Pull:區塊鏈安全公司CertiK已將基于Binance Smart Chain的流動性挖礦協議Arbix Finance標記為“Rug Pull”(拉地毯)項目。根據CertiK的事件分析,Arbix Finance項目顯示了太多的危險信號。CertiK稱:“ARBX合約只有所有者功能的mint(),1000萬個ARBX代幣被鑄造到了8個地址”。CertiK還確認有450萬個ARBX被鑄造到一個地址,之后“450萬個鑄造的代幣被丟棄。”另一個危險信號是1000萬美元的用戶資金。這筆資金在存入后被定向到未經驗證的池中,黑客最終獲得了所有訪問權限,耗盡了全部1000萬美元的資產。(Coingape)[2022/1/6 8:27:48]

需要注意的是,mintFor函數用于將收取的手續費轉化為HunnyToken并返還給用戶;但在讀取需要轉換的手續費時,錯誤地使用了balanceOf做為參數,且在兌換HunnyToken時,使用的是固定兌換比例,這給了黑客發動攻擊的可乘之機。

黑客首先向hunnyMinter合約中打入了56個cake代幣;再同時調用CakeFilpValut合約中的getReward函數,間接觸發了hunnyMinter中的mintFor函數。

此時hunnyMinter合約中因存在黑客打入的cake,導致能夠兌換大量的HunnyToken;而此時的HunnyToken的價格,已經超過設定的固定值,這使得此處存在套利空間。后續黑客一直使用相同方法進行套利,直至項目方置零固定兌換比例hunnyPerProfitBNB。

三、事件復盤

不難看出,此次事件是又一次發生在BSC鏈上的仿盤項目的被黑事件。結合5月多起諸如Merlin、AutoSharkFinance等FORK項目被黑經歷來看,黑客針對BSC鏈上仿盤項目的攻擊態勢仍然在持續發酵。在此,成都鏈安提醒各大FORK項目尤其需要注重安全風險,加強安全防范工作,切勿懈怠。

同時,針對項目本身的開發和創新,我們建議開發者需要對原生項目進行深入理解,切勿一味地照搬和模仿;特別是在安全建設方面,在同步原生項目的安全防護策略之外,也需要聯動第三方安全公司的力量,建立一套獨立自主的安全風控體系,以應對各類突發的安全風險。

Tags:BSCUNNANC區塊鏈SHIBSCBUNNYnoob.finance有人拉你做區塊鏈

聚幣
案例 | “算力”被盜!法律怎么看?_COS

隨著數字經濟的蓬勃發展,“算力”一詞進入了人們的視野。在早期,算力是指比特幣等虛擬貨幣網絡處理能力的度量單位,即計算機計算哈希函數輸出的速度。后來,算力一詞逐步擴展到大數據時代的運算能力.

1900/1/1 0:00:00
日賺3億的“挖礦”生意 要涼了?_比特幣

“我們準備跑了,出海去中東。”王浩對深燃說。王浩是四川的一個“礦場”場主,他說的“跑”,是指把挖比特幣的礦機和設備全部搬到國外去.

1900/1/1 0:00:00
人民網 | “四問比特幣”之三:“幣圈”的亂象知多少?_區塊鏈

來源:人民網-強國論壇 編者按:5月,“幣圈”吸引無數關注。5月18日,中國互聯網金融協會等三大協會發布公告指出,開展法定貨幣與虛擬貨幣兌換及虛擬貨幣之間的兌換業務,違反有關法律法規并涉嫌犯罪.

1900/1/1 0:00:00
新的DeFi“護照”可以實現非足額抵押加密貨幣貸款?_DEFI

去中心化金融協議Arcx已經宣布推出Sapphirev3,這是一個DeFi護照,允許加密貨幣用戶在鏈上匿名建立和驗證他們的信譽.

1900/1/1 0:00:00
科普 | Layer 2方案zkSync的三重安全性方案_SYN

“唯有偏執狂才能生存下來。”——Intel的CEOAndyGrove在為?NFTs、swaps和zkEVM?上線做準備的過程中,我們注意到zkSync的用戶和資金量迎來了指數級增長.

1900/1/1 0:00:00
中國支付清算協會:利用虛擬貨幣等形式實施違法犯罪活動逐漸上升_VER

原文標題:中國支付清算協會關于加強行業信息共享有效防范支付風險的提示近期,中國支付清算協會組織部分會員單位召開行業風險信息及特約商戶信息共享聯防工作座談會,分析當前支付風險防控的總體形勢和特征.

1900/1/1 0:00:00
ads