前言
PREFACE
北京时间 10 月 20 日晚,知道创宇区块链安全实验室 监测到 BSC 链上的 DeFi 协议 PancakeHunny 的 WBNB/TUSD 池遭遇闪电贷攻击,HUNNY 代币价格闪崩。实验室第一时间跟踪本次事件并分析。
分析
ANALYZE
SEBC将于5月31日之前停止服务,随后将以Binance Japan名义重新开放:金色财经报道,在退出日本市场五年后,Binance于2022年11月收购的受监管加密货币交易所SEBC宣布将在5月31日之前停止其当前服务,并在未来几周以Binance Japan的名义重新开放。Binance全球在该国的用户必须在新实体注册。迁移将于2023年8月1日之后可用,并将包括新的KYC以符合当地要求。
根据公告,Binance Japan将不会在日本提供衍生品服务,Binance全球不接受日本用户新的衍生品账户。此外,在6月9日之后,使用全球平台的日本居民将无法增加或开设新的期权头寸,挂单将被取消,现有头寸必须在6月23日之前关闭,币安杠杆代币将不可用于交易或订阅。
Binance此前透露,从6月开始,SEBC交易所的任何剩余资金将自动转换为日元并转入用户的银行账户。[2023/5/28 9:46:28]
攻击者信息攻击者:0x731821D13414487ea46f1b485cFB267019917689
数字投资平台Bitpanda支持SHIB交易:金色财经报道,根据周五的公告,总部位于维也纳的数字投资平台Bitpanda已支持SHIB交易。据悉,在3月份完成1.7亿美元的B轮融资后,Bitpanda成为了奥地利第一家金融科技独角兽。[2021/10/9 5:48:24]
攻击合约:0xa5312796DC20ADd51E41a4034bF1Ed481b708e71
第一次攻击tx:0x1b698231965b72f64d55c561634600b087154f71bc73fc775622a45112a94a77
LBank蓝贝壳于5月29日20:00上线PANDA,开放USDT交易:据官方公告,5月29日20:00,LBank蓝贝壳上线PANDA,开放USDT交易,5月28日20:00开放充值,5月30日20:00开放提现。资料显示,PANDA项目尝试连接中心化和去中心化的世界,打造一个既能降低普通投资者的参与门槛,又能开放,透明,安全的平台。[2021/5/27 22:50:17]
VaultStrategyAlpacaRabbit:0x27d4cA4bB855e435959295ec273FA16FE8CaEa14
对冲基金竞赛平台Numerai通过销售NMR代币获500万美元融资,Pantera领投:对冲基金竞赛平台Numerai(NMR)的创始人RichardCraib发推称,PanteraCapital领投了对NMR的500万美元融资。另外,NMR的质押数量也创下历史新高,达到312,928枚,价值超1700万美元。[2021/4/3 19:42:33]
VaultStrategyAlpacaRabbit(proxy):0xef43313e8218f25Fe63D5ae76D98182D7A4797CC
攻击者从 Cream Finance 通过闪电贷获得 53.25 BTC
用 53.25 BTC 从 Venus 借出 2717107 TUSD
在 PancakeSwap 上,用 TUSD 兑换 BNB,抬高 BNB 价格
使用 50 个不同的钱包地址将 38250 TUSD 存入 HUNNY TUSD Vault 合约
赎回 2842.16 TUSD,并铸造 12020.40 HUNNY 代币
以7.78 WBNB 的价格卖出 HUNNY 代币
50个钱包重复26次以上步骤
细节VaultStrategyAlpacaRabbit 合约池的_harvest()函数中,资产的兑换路由为 ALPACA => WBNB => TUSD,而 WBNB/TUSD 池中流动性较低,易被操纵。
在巨额兑换后,抬高了 WBNB 对 TUSD 的价格,攻击者调用 harvest() 函数后,Vault 合约的 TUSD 利润剧增,随后调用 getReward() 函数,通过30%的 performanceFee 手续费铸造 HUNNY 代币,只要铸造出的 HUNNY 代币价值超过 30% 的 performanceFee 手续费,就有利可图。
目前,PancakeHunny 官方已采取紧急措施,暂停了 TUSD Vault 合约的铸币。
总结
SUMMARIZE
此次 PancakeHunny 遭遇的闪电贷攻击的本质原因在于底层资产兑换过程的价格易被操控,未做全面考虑和防护,从而使得攻击者通过巨额资金操纵某一交易对价格进行攻击套利。
近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
实验室官网:www.knownseclab.com
北京时间2月21日,美国证券交易委员会(SEC)在其官网宣布,加密货币创业公司Gladius Network LLC在主动向其报告ICO情况.
?DeFi 最大的特色之一是它的可组合性,无需许可的开放式区块链协议,让资产可以在协议间自由流动.
在去年11月高调推出NFT市场shoyo之后,Sushi在近期又有了大动作。2月15日,Sushi核心开发者LufyCZ在Sushi官方社区宣布推出NFT项目Sushimi.
业内消息人士表示,英国税务与海关总署(HMRC)正在向加密货币交易所施加压力,以获取交易所用户的姓名和交易记录旨在追回未缴纳的税款.
交通运输部 国家标准化管理委员会 国家铁路局 中国民用航空局 国家邮政局关于印发《交通运输标准化“十四五”发展规划》的通知各省、自治区、直辖市、新疆生产建设兵团交通运输厅(局、委)、市场监管局(.
虚拟代币交易打击正在逐渐加码。12月18日,一则关于“深圳加快虚拟代币交易整顿,8家涉嫌发币企业被约谈”的消息,让本不平静的“币圈”再起波澜.