加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads
首頁 > DAI > Info

BSC鏈上項目再遭黑客攻擊,“黑色5月”陰云持續? | PancakeHunny被黑事件簡析_UNN:MDX幣有投資價值嗎

Author:

Time:1900/1/1 0:00:00

一、事件概覽

北京時間6月3日11時11分,鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示,BSC鏈上項目PancakeHunny遭遇黑客攻擊。據統計,此次攻擊事件中,黑客總共獲利43ETH。

面對又一起發生在BSC鏈上的項目被黑事件,成都鏈安·安全團隊第一時間啟動安全應急響應,針對PancakeHunny被黑事件進行跟蹤分析,以提醒BSC鏈上各大項目切實提高安全防范意識,警惕“黑色5月”陰云的持續籠罩。

據了解,PancakeHunny是PancakeBunny的又一仿盤項目。在本次被黑事件中,黑客采取的攻擊手法大體上與此前攻擊PancakeBunny近似,均是在短時間內增發大量的代幣并拋向市場,并引起了HunnyToken幣價暴跌。

安全團隊:BSC鏈上Level Finance被盜資金目前仍存放在攻擊者地址內:金色財經報道,根據區塊鏈安全審計公司Beosin旗下的Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,2023年5月2日BSC鏈上的Level__Finance 項目被攻擊,損失資金高達一百萬美元。通過分析代碼得知,攻擊者地址0x61bb...12e創建了攻擊合約0xf08a...629,隨后利用攻擊合約調用了被攻擊合約0x9770...63a的claimMultiple函數,由于被攻擊合約在users獎勵計算后沒有進行對應的users賬本清除,導致同一個epoch的claimed獎勵可以被反復領取。攻擊者多次調用函數使用同一個epoch來反復領取Level Token,隨后將領取的Level Token在多個pair中swap成3345個BNB(約109萬美元),被盜資金目前仍存放在攻擊者地址內(0x70319d1c09e1373fc7b10403c852909e5b20a9d5),Beosin將持續對被盜資金監控。[2023/5/2 14:38:03]

MDEX(BSC版)新增流動性挖礦名單DEK/USDT、TOKEN/BNB:據MDEX官方公告,將于4月28日20:00(UTC+8)在每區塊挖礦總獎勵不變的情況下,新增流動性挖礦名單,并進行流動性挖礦權重調整。新增流動性挖礦名單如下:DEK/USDT、TOKEN/BNB。流動性挖礦調整細節,具體以官網展示為準。DAO管理開啟后,權重調整方案將交由社區投票決定。[2021/4/28 21:06:04]

二、事件分析

成都鏈安·安全團隊針對被黑代碼展開跟蹤分析,根據已披露的線索和攻擊交易上來看,黑客主要是利用了HunnyMinter函數的設計缺陷進行了攻擊,如下圖所示:

MDEX.COM將于4月8日20:00(UTC+8)開啟BSC流動性挖礦及交易挖礦:根據官方消息,MDEX.COM將于4月8日20:00(UTC+8)開啟BSC流動性挖礦及交易挖礦,用戶可于4月8日15:00(UTC+8)開始進行單幣質押及流動性挖礦LP質押,此時段并無質押獎勵。用戶可在流動性挖礦及交易挖礦啟動后,在官方展示頁面查看挖礦幣種。

4月8日19:30--4月18日19:30期間,MDEX將為MDX/HMDX、USDT/HUSD提供初始流動性,MDX/HMDX流動性礦池LP分別提供10萬枚MDX及10萬枚HMDX,USDT/HUSD流動性礦池LP分別提供1萬枚MDX等值USDT及1萬枚MDX等值HUSDT,MDEX團隊提供MDX/HMDX初始流動性將不參與挖礦獎勵。

MDEX部署BSC后,平臺代幣MDX的總供應量仍約為10億枚。[2021/4/8 19:58:39]

需要注意的是,mintFor函數用于將收取的手續費轉化為HunnyToken并返還給用戶;但在讀取需要轉換的手續費時,錯誤地使用了balanceOf做為參數,且在兌換HunnyToken時,使用的是固定兌換比例,這給了黑客發動攻擊的可乘之機。

黑客首先向hunnyMinter合約中打入了56個cake代幣;再同時調用CakeFilpValut合約中的getReward函數,間接觸發了hunnyMinter中的mintFor函數。

此時hunnyMinter合約中因存在黑客打入的cake,導致能夠兌換大量的HunnyToken;而此時的HunnyToken的價格,已經超過設定的固定值,這使得此處存在套利空間。后續黑客一直使用相同方法進行套利,直至項目方置零固定兌換比例hunnyPerProfitBNB。

三、事件復盤

不難看出,此次事件是又一次發生在BSC鏈上的仿盤項目的被黑事件。結合5月多起諸如Merlin、AutoSharkFinance等FORK項目被黑經歷來看,黑客針對BSC鏈上仿盤項目的攻擊態勢仍然在持續發酵。在此,成都鏈安提醒各大FORK項目尤其需要注重安全風險,加強安全防范工作,切勿懈怠。

同時,針對項目本身的開發和創新,我們建議開發者需要對原生項目進行深入理解,切勿一味地照搬和模仿;特別是在安全建設方面,在同步原生項目的安全防護策略之外,也需要聯動第三方安全公司的力量,建立一套獨立自主的安全風控體系,以應對各類突發的安全風險。

Tags:UNNBSCMDXANCTunnel ProtocolMoonTrustBSCMDX幣有投資價值嗎YDE Planet Alliance

DAI
BSC鏈上項目再遭黑客攻擊 PancakeHunny被黑事件簡析_UNN:CZ Boss BSC

一、事件概覽 北京時間6月3日11時11分,鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示,BSC鏈上項目PancakeHunny遭遇黑客攻擊。據統計,此次攻擊事件中,黑客總共獲利43ETH.

1900/1/1 0:00:00
律師詳解挖礦刑事風險:礦機商挖礦者風險小 支付與云算力存風險_虛擬幣:FTX

1.中國打擊比特幣挖礦的歷史 內蒙古率先打起第一槍 最早打響禁止“挖礦”第一槍的是2017年內蒙古互聯網金融風險專項整治工作領導小組辦公室印發的《關于引導我區虛擬貨幣“挖礦”企業有序退出的通知》.

1900/1/1 0:00:00
金色觀察 | 用DeGenData分析NFT數據_NFT:datashieldcoinbank

在NFT生態系統中,很多人都不懂得分析和理解鏈上數據有多么重要。如果你沒有定期跟蹤鏈上活動,這就有點像無頭蒼蠅.

1900/1/1 0:00:00
ETH 2.0 將如何解決長期存在的中心化爭論_ETH:以太坊

介紹 對ETH中心化的爭論,長期以來一直被PrestonPysh和LynAlden等消息靈通的比特幣投資者用作反對采用ETH的論據.

1900/1/1 0:00:00
從0到1精通IPFS與Filecoin很難嗎?6個課時就夠了!_FIL:ETH

截至6月4日下午5點,火幣交易所24小時成交量第一是ETH,109億人民幣。排名第二是Filecoin項目代幣FIL,78億人民幣。BTC以71億位列第三.

1900/1/1 0:00:00
Layer2時代來臨 新公鏈的窗口期關閉了嗎?_OLY:POLY

公鏈賽道一直流傳著一句話——「ETH2.0正式落地之前的這段時間,是所有新生代公鏈最后的窗口期。」?細品這句話,雖說定語是ETH2.0落地,但實際上想說的是以太坊能否突破性能桎梏,實現擴容.

1900/1/1 0:00:00
ads