北京時間6月3日11時11分,鏈必安-區塊鏈安全態勢感知平臺(Beosin-Eagle Eye)輿情監測顯示,BSC鏈上項目PancakeHunny遭遇黑客攻擊。據統計,此次攻擊事件中,黑客總共獲利43ETH(合計10余萬美元)。
面對又一起發生在BSC鏈上的項目被黑事件,成都鏈安·安全團隊第一時間啟動安全應急響應,針對PancakeHunny被黑事件進行跟蹤分析,以提醒BSC鏈上各大項目切實提高安全防范意識,警惕“黑色5月”陰云的持續籠罩 。
據了解,PancakeHunny是PancakeBunny的又一仿盤項目。在本次被黑事件中,黑客采取的攻擊手法大體上與此前攻擊PancakeBunny近似,均是在短時間內增發大量的代幣并拋向市場,并引起了HunnyToken幣價暴跌。
BSC鏈上托管平臺Justcows疑似跑路,項目方已轉移500萬美元資金:6月24日消息,據推特用戶@eternal1997L的推文,BSC鏈上的托管平臺Justcows疑似跑路,項目方將大量的BUSD通過混幣的形式,分散到了至少上萬個地址里,其中部分資金轉到了hunterswap,還有一部分進了交易所。據悉,該平臺1個月前曾發布公告,停止用戶提現。據悉,Justcows卷走了500萬美元的用戶資金。
項目方錢包地址疑似0xb619571786E069c635605A175D7B668bD74ae6a5。[2022/6/24 1:28:27]
BSC鏈上DeFi收益聚合器Dot.Finance遭受閃電貸攻擊:8月25日消息,BSC鏈上DeFi收益聚合器Dot.Finance遭受閃電貸攻擊,PeckShield派盾分析發現,此次攻擊是PancakeBunny的同源攻擊。
受到攻擊的影響,Dot.Finance代幣PINK短時急跌35%,從0.77USD跌至約0.5USD。[2021/8/25 22:36:51]
成都鏈安·安全團隊針對被黑代碼展開跟蹤分析,根據已披露的線索和攻擊交易上來看,黑客主要是利用了HunnyMinter函數的設計缺陷進行了攻擊,如下圖所示:
慢霧:BSC項目Value DeFi vSwap 模塊被黑簡析:據慢霧區情報,幣安智能鏈項目 Value DeFi 的 vSwap 模塊被黑,慢霧安全團隊第一時間介入分析,并將結果以簡訊的形式分享,供大家參考:
1. 攻擊者首先使用 0.05 枚 WBNB 通過 vSwap 合約兌換出 vBSWAP 代幣;
2. 攻擊者在兌換的同時也進行閃電貸操作,因此 vSwap 合約會將兌換的 vBSWAP 代幣與閃電貸借出的 WBNB 轉給攻擊者;
3. 而在完成整個兌換流程并更新池子中代幣數量前,會根據池子的 tokenWeight0 參數是否為 50 來選擇不同的算法來檢查池子中的代幣數量是否符合預期;
4. 由于 vSwap 合約的 tokenWeight0 參數設置為 70,因此將會采用第二種算法對池子中的代幣數量進行檢查;
5. 而漏洞的關鍵點就在于采用第二種算法進行檢查時,可以通過特殊構造的數據來使檢查通過;
6. 第二種算法是通過調用 formula 合約的 ensureConstantValue 函數并傳入池子中緩存的代幣數量與實時的代幣數量進行檢查的;
7. 在通過對此算法進行具體分析調試后我們可以發現,在使用 WBNB 兌換最小單位(即 0.000000000000000001) vBSWAP 時,池子中緩存的 WBNB 值與實時的值之間允許有一個巨大的波動范圍,在此范圍內此算法檢查都將通過;
8. 因此攻擊者可以轉入 WBNB 進行最小單位的 vBSWAP 代幣兌換的同時,將池子中的大量 WBNB 代幣通過閃電貸的方式借出,由于算法問題,在不歸還閃電貸的情況下仍可以通過 vSwap 的檢查;
9. 攻擊者只需要在所有的 vSwap 池子中,不斷的重復此過程,即可將池子中的流動性盜走完成獲利。詳情見原文鏈接。[2021/5/8 21:37:37]
需要注意的是,mintFor函數用于將收取的手續費轉化為HunnyToken并返還給用戶;但在讀取需要轉換的手續費時,錯誤地使用了balanceOf做為參數,且在兌換HunnyToken時,使用的是固定兌換比例(當時為1 BNB:3200 HunnyToken),這給了黑客發動攻擊的可乘之機。
黑客首先向hunnyMinter合約中打入了56個cake代幣;再同時調用CakeFilpValut合約中的getReward函數,間接觸發了hunnyMinter中的mintFor函數。
此時hunnyMinter合約中因存在黑客打入的cake,導致能夠兌換大量的HunnyToken;而此時的HunnyToken的價格,已經超過設定的固定值,這使得此處存在套利空間。后續黑客一直使用相同方法進行套利,直至項目方置零固定兌換比例hunnyPerProfitBNB。
不難看出,此次事件是又一次發生在BSC鏈上的仿盤項目的被黑事件。結合5月多起諸如Merlin、AutoSharkFinance等FORK項目被黑經歷來看,黑客針對BSC鏈上仿盤項目的攻擊態勢仍然在持續發酵。在此,成都鏈安提醒各大FORK項目尤其需要注重安全風險,加強安全防范工作,切勿懈怠。
同時,針對項目本身的開發和創新,我們建議開發者需要對原生項目進行深入理解,切勿一味地照搬和模仿;特別是在安全建設方面,在同步原生項目的安全防護策略之外,也需要聯動第三方安全公司的力量,建立一套獨立自主的安全風控體系,以應對各類突發的安全風險。
Tags:UNNSWAPANCBSCDino Runner Fan TokenMATSUSWAPValue FinanceBSC Station
面對最大的技術挑戰,我們正朝著在 EVM 兼容環境中部署智能合約開始沖刺。測試網的第一個版本已經上線:您已經可以使用區塊瀏覽器查看 zkSync 2.0 上的活動.
1900/1/1 0:00:00加密從業者的思考,正從單純的「區塊鏈+傳統」一步步地向「區塊鏈原生化」演變。過去的 12 年,區塊鏈行業已經從「加密極客」發展到大眾耳熟能詳的地步,截至目前市值規模已經達到千億美元,發展勢頭十分.
1900/1/1 0:00:00以太坊是近期加密市場最關注的話題,EIP 1559 和 ETH 2.0使得以太坊的敘事即將迎來根本性轉折.
1900/1/1 0:00:00分析公司CoinShares的最新報告顯示,從機構比特幣投資產品中流出的資金繼續激增。根據CoinShares 6月7日的數字資產基金流動周報,機構投資者正在繼續減少比特幣敞口,比特幣投資產品在.
1900/1/1 0:00:00核心觀點 1、比特幣對傳統貨幣體系的批評并不正確,對社會而言比特幣本身的缺點可能大于優點,比特幣會繼續演化并具備存在價值,未來將主要面對來自央行法定數字貨幣的競爭.
1900/1/1 0:00:00億萬富翁投資者Mark Cuban投資了Polygon,一個以太坊Layer2擴展解決方案。Cuban在給CoinDesk的一封電子郵件中證實了這筆投資,但沒有透露投資規模和構成.
1900/1/1 0:00:00