链资讯 链资讯
Ctrl+D收藏链资讯
首页 > Ethereum > 正文

BSC链上项目PancakeHunny被黑事件简析

作者:

时间:

北京时间6月3日11时11分,链必安-区块链安全态势感知平台(Beosin-Eagle Eye)舆情监测显示,BSC链上项目PancakeHunny遭遇黑客攻击。据统计,此次攻击事件中,黑客总共获利43ETH(合计10余万美元)。

面对又一起发生在BSC链上的项目被黑事件,成都链安·安全团队第一时间启动安全应急响应,针对PancakeHunny被黑事件进行跟踪分析,以提醒BSC链上各大项目切实提高安全防范意识,警惕“黑色5月”阴云的持续笼罩 。

据了解,PancakeHunny是PancakeBunny的又一仿盘项目。在本次被黑事件中,黑客采取的攻击手法大体上与此前攻击PancakeBunny近似,均是在短时间内增发大量的代币并抛向市场,并引起了HunnyToken币价暴跌。

KingData监控:USDT在ETH的发行总量 279.2亿:据KingData数据显示,泰达公司在 ETH 新增发 10亿 枚USDT,当前总量为 279.16亿 枚 USDT。更多数据或KingData下载见原文链接。[2021/5/18 22:13:44]

成都链安·安全团队针对被黑代码展开跟踪分析,根据已披露的线索和攻击交易上来看,黑客主要是利用了HunnyMinter函数的设计缺陷进行了攻击,如下图所示:

需要注意的是,mintFor函数用于将收取的手续费转化为HunnyToken并返还给用户;但在读取需要转换的手续费时,错误地使用了balanceOf做为参数,且在兑换HunnyToken时,使用的是固定兑换比例(当时为1 BNB:3200 HunnyToken),这给了黑客发动攻击的可乘之机。

黑客首先向hunnyMinter合约中打入了56个cake代币;再同时调用CakeFilpValut合约中的getReward函数,间接触发了hunnyMinter中的mintFor函数。

此时hunnyMinter合约中因存在黑客打入的cake,导致能够兑换大量的HunnyToken;而此时的HunnyToken的价格,已经超过设定的固定值,这使得此处存在套利空间。后续黑客一直使用相同方法进行套利,直至项目方置零固定兑换比例hunnyPerProfitBNB。

不难看出,此次事件是又一次发生在BSC链上的仿盘项目的被黑事件。结合5月多起诸如Merlin、AutoSharkFinance等FORK项目被黑经历来看,黑客针对BSC链上仿盘项目的攻击态势仍然在持续发酵。在此,成都链安提醒各大FORK项目尤其需要注重安全风险,加强安全防范工作,切勿懈怠。

同时,针对项目本身的开发和创新,我们建议开发者需要对原生项目进行深入理解,切勿一味地照搬和模仿;特别是在安全建设方面,在同步原生项目的安全防护策略之外,也需要联动第三方安全公司的力量,建立一套独立自主的安全风控体系,以应对各类突发的安全风险。

标签:比特币TOKENKENPAN比特币市场占有率LCX tokenTokenClubCPAN币

Ethereum热门资讯
三分钟搞懂 ERC-20 和 ERC-721 的不同

我们经常会在业内媒体报道上看到“ERC-20”这个词,它是以太坊上的一种标准协议。除了ERC-20,以太坊上的另一个较多数人听说过的协议是ERC-721。 虽然听说过,但很多人依然不了解这两个协议究竟是什么,应该如何区分。今天,白话区块链就给大家梳理一下。

金色早报 | 以太坊DeFi活动已放缓至2020年水平

头条 ▌以太坊DeFi活动已放缓至2020年水平 金色财经报道,根据Glassnode Insights最近的一份报告,以美元计算的以太坊转账量在两周内下降了60%。DeFi交易量和交易数量本月有所下降。交易费用自1月1日以来首次回到5美元以下。以太坊DeFi活动已放缓至2020年的水平。

青海等多地发文整顿比特币挖矿 有矿工称其云南矿场已关停

继内蒙古率先响应国务院金融委提出的“打击比特币挖矿和交易行为”后,其他地区也开始整顿虚拟货币挖矿产业。 6月11日,澎湃新闻从一位矿工处获悉,其在云南托管矿机的矿场于今日上午关停,在新疆托管矿机的矿场也于今日关闭。

杠杆持有11万枚比特币的公司 有没有被清算的风险?

每一轮市场的涨跌周期里,最最最不变的就是人性,这也是狂人这些年对大趋势判断很难出错的根本。分析师都被捧上天,散户都很快乐的时候,这种时候即便不是顶,也距离顶部不会太远,这个时候要做的就是出来观望,等待多数人被套牢;相反,当所有分析师都不想分析行情,被骂的狗血淋头的时候,你就逐步的、尽情的买吧,这个时候买入不仅安全,而且很可能是底部区间。

美国司法部:已追回大部分给黑客的比特币赎金 价值230万美元

今年5月,美国大型输油管道运营商科洛尼尔管道运输公司(Colonial Pipeline)遭到了网络攻击,并向黑客支付75比特币(当时价值440万美元,约合人民币2814万元)赎金。当地时间6月7日,美国司法部表示,已追回这笔赎金。

金色观察 | 韩国加密交易所将面临更多限制

韩国金融监管机构计划禁止交叉盘买卖,韩国加密交易所将面对更多问题。 据韩国新闻机构Newsis周日报道,韩国金融监管机构将禁止当地加密货币交易所在没有记录的情况下进行交易。 上周举行了一场闭门会议,其中有多达20家韩国加密货币交易所参加,在会议中,韩国金融服务委员会概述了一项规定,如果交易所要继续在韩国运营,就必须满足这一规定。