前言
世界时5月20日10:34:28,币安智能链DeFi收益聚合器PancakeBunny遭到来自外部开发人员的闪电贷攻击,黑客利用闪电贷套利114631个BNB,大约4000W美元,涉及金额巨大。知道创宇区块链安全实验室旨在通过全盘梳理攻击流程和代码细节,一窥闪电贷套利的秘密。基础信息
攻击者地址:0xa0acc61547f6bd066f7c9663c17a312b6ad7e187攻击合约地址:0xcc598232a75fb1b361510bce4ca39d7bc39cf498攻击交易hash:0x897c2de73dd55d7701e1b69ffb3a17b0f4801ced88b0c75fe1551c5fcce6a979黑客利用闪电贷借大量BNB,通过PancakeSwap操纵USDT/BNB以及BUNNY/BNB价格,获得大量BUNNY后再进行抛售,导致BUNNY价格闪崩,并且从中获利。实验室就该次攻击事件进行分析,在链上查询到了交易链接以及攻击合约地址。攻击合约地址:0xcc598232a75fb1b361510bce4ca39d7bc39cf498攻击交易链接及截图:https://bscscan.com/tx/0x897c2de73dd55d7701e1b69ffb3a17b0f4801ced88b0c75fe1551c5fcce6a979
币安智能链上借贷协议Neko Network遭攻击,疑似400万美元被盗:8月13日消息,币安智能链(BSC)上借贷协议Neko Network遭攻击,疑似400万美元被盗。攻击者利用协议漏洞以用户名义抵押资产产生借贷,并将借得资金直接发送至攻击者自己地址,Neko Network借贷功能已暂停,所有资产池已冻结以避免更多攻击发生,由于时间锁的设定,需等待24小时才能开放资金池,让用户提出池内资金。Neko Network是由零息货币市场协议Maze Protocol团队开发的产品。[2021/8/13 1:52:23]
Rabbit Finance获得11家机构战略投资,即将登陆币安智能链:据官方消息,Rabbit Finance(兔子金融)正式宣布完成IRO轮融资。由FBG Capital领投,Horizon Capital, Redline Capital, Du Capital, PCoin Labs, Hot Labs, AngelONE Capital, LBank, BKEX Capital, HBTC Labs和Bibox等共11个一线资本和交易平台旗下基金参与投资。
Rabbit Finance是一个具备存币生息、杠杆借贷等功能的超额收益挖矿协议,是币安智能链上的杠杆借贷挖矿机池平台,预计5月初上线。
Rabbit Finance初期支持BUSD/USDT/BNB/BTCB/ETH等5种资产的存款和借贷,为存贷用户提供更多资产选择。同时将支持最高10倍杠杆、低清算风险和低滑点的稳定币流动性挖矿。[2021/4/25 20:56:55]
图1
物联网区块链平台IoTeX与币安智能链(BSC)达成合作:据官方消息,币安智能链(BSC)与物联网区块链平台IoTeX达成合作,IoTeX正式启动在BSC的Defi跨链收益聚合器 Autofarm.network上的流动性挖矿活动 ,开启首个IOTX/BUSD流动性池(LP)。现TVL已超过100万美元,每日APR高达450%。[2021/4/21 20:43:31]
图2
图3攻击步骤详解
1.攻击者先调用图2交易,进行了一次抵押,此时会产生抵押奖励;2.然后攻击者通过图1的交易从闪电贷平台借出大量BNB和USDT,通过PancakeSwap的交易对去添加流动性获取lp代币,并将lp代币留在了交易对合约中;3.因为攻击者进行过抵押,然后通过调用图3中VaultFlipToFlip合约的getReward函数来获取BUNNY代币奖励并取回移除先前添加的流动性,然而在奖励计算时,获取BUNNY数量的逻辑出现问题导致产生大量的BUNNY代币,并通过PancakeSwap兑换成BNB,造成了BUNNY价格暴跌;4.通过3步骤得到BNB之后归还到闪电贷地址,并从中获利114631个BNB,价值大约4000W美元。总结
本次攻击事件,攻击者在一笔交易中完成了一系列借用、兑换、获取奖励、归还闪电贷等操作,其主要原因还是项目在计算抵押奖励时获取lp价格出现了逻辑问题,导致黑客利用这一漏洞进行了攻击。
目前,我们在项目方的twitter上注意到,项目方已经暂停了一些项目的存取款功能,并商讨安全修复方案和赔偿计划。如果有新的进展,实验室会在第一时间跟进和分析,请持续关注!
标签:UNNBUNNYBUNBNBBunnyTokenBunny King MetaverseBUNIbnb历史价格走势图
这轮行业进化中DeFi是主角。DeFi的核心当属DEX。Uniswap、Sushiswap和Pancakeswap风头最劲时,甚至有超越中心化交易所之势.
\n长周期评级:增持短周期评级:比特币等待右侧增持小市值加密货币减仓中国互联网金融协会、中国银行业协会、中国支付清算协会联合发布防范虚拟货币风险公告,受此监管利空影响,比特币再次下跌.
SubstrateBuildersProgram是Parity发起的一项计划,旨在支持Substrate生态系统中的建设者.
UniswapV3部署到以太坊二层网络Arbitrum的投票已获得压倒性支持,而Arbitrum也将于明日5月28日向开发者开启主网,趁热打铁,我也好好学习一下Arbitrum.
北京时间5月20日凌晨3:25,波卡创始人GavinWood博士在波卡社区大会「PolkadotDecoded」上和大家在线聊天。Gavin在聊天中透露了不少大家关心的平行链和拍卖相关的信息.
昨天稍晚,监管层再次发布公告要求金融支付机构不得开展与虚拟货币相关的业务,并且与此相配合的是《上海证券报》发文,提出如果要彻底封堵虚拟货币,有关部门需要更深层次升级技术.