BSC鏈上項目再遭黑客攻擊 PancakeHunny被黑事件簡析_UNN:CZ Boss BSC

一、事件概覽

北京時間6月3日11時11分，鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示，BSC鏈上項目PancakeHunny遭遇黑客攻擊。據統計，此次攻擊事件中，黑客總共獲利43ETH。

面對又一起發生在BSC鏈上的項目被黑事件，成都鏈安·安全團隊第一時間啟動安全應急響應，針對PancakeHunny被黑事件進行跟蹤分析，以提醒BSC鏈上各大項目切實提高安全防范意識，警惕“黑色5月”陰云的持續籠罩。

據了解，PancakeHunny是PancakeBunny的又一仿盤項目。在本次被黑事件中，黑客采取的攻擊手法大體上與此前攻擊PancakeBunny近似，均是在短時間內增發大量的代幣并拋向市場，并引起了HunnyToken幣價暴跌。

BitKeep：大部分被盜資金已轉至BSC上地址，呼吁用戶向BNB Chain官方求助:12月26日消息，Web3多鏈錢包BitKeep發布公告稱：“本次大規模黑客攻擊事件已查明原因，是一起極其惡劣的群體盜竊事件，部分用戶使用的BitKeep APK包下載被黑客劫持，即使用的錢包已不是官方發布的版本。現黑客已將大部分資金轉移至BSC上的錢包地址，希望大家能在推特和社交媒體上向何一和趙長鵬以及BNB CHAIN官方尋求幫助，請大家在推特上向@heyibinance，@cz_binance傳達本信息，盡快凍結黑客地址與被盜資金。”

此外，官方公布了14個BSC黑客地址。

金色財經此前報道，BitKeep發布公告稱，經過團隊初步排查，疑似部分APK包下載被黑客劫持，安裝了被黑客植入代碼的包，如用戶的資金出現被盜情況，下載或者更新的應用或許是被劫持的不明版本（非官方發布版本）。[2022/12/26 22:08:11]

二、事件分析

FTX攻擊事件黑客已將BSC上的14,738枚BNB兌換成370萬枚BSC-USD:金色財經報道，據派盾預警監測，FTX攻擊事件黑客（鏈上地址被標記為FTX AccountsDrainer）已將BSC上的14,738.20枚BNB(約395萬美元)兌換成370萬枚BSC-USD（約370萬美元）。[2022/11/17 13:17:50]

成都鏈安·安全團隊針對被黑代碼展開跟蹤分析，根據已披露的線索和攻擊交易上來看，黑客主要是利用了HunnyMinter函數的設計缺陷進行了攻擊，如下圖所示：

MDEX雙鏈部署（Heco&BSC）TVL 超57億美金:據MDEX官方數據顯示，截止今日14:00，MDEX部署火幣生態鏈HECO&幣安智能鏈BSC雙鏈挖礦，目前總流動性質押超57億美金。[2021/5/12 21:52:29]

需要注意的是，mintFor函數用于將收取的手續費轉化為HunnyToken并返還給用戶；但在讀取需要轉換的手續費時，錯誤地使用了balanceOf做為參數，且在兌換HunnyToken時，使用的是固定兌換比例，這給了黑客發動攻擊的可乘之機。

黑客首先向hunnyMinter合約中打入了56個cake代幣；再同時調用CakeFilpValut合約中的getReward函數，間接觸發了hunnyMinter中的mintFor函數。

此時hunnyMinter合約中因存在黑客打入的cake，導致能夠兌換大量的HunnyToken；而此時的HunnyToken的價格，已經超過設定的固定值，這使得此處存在套利空間。后續黑客一直使用相同方法進行套利，直至項目方置零固定兌換比例hunnyPerProfitBNB。

三、事件復盤

不難看出，此次事件是又一次發生在BSC鏈上的仿盤項目的被黑事件。結合5月多起諸如Merlin、AutoSharkFinance等FORK項目被黑經歷來看，黑客針對BSC鏈上仿盤項目的攻擊態勢仍然在持續發酵。在此，成都鏈安提醒各大FORK項目尤其需要注重安全風險，加強安全防范工作，切勿懈怠。

同時，針對項目本身的開發和創新，我們建議開發者需要對原生項目進行深入理解，切勿一味地照搬和模仿；特別是在安全建設方面，在同步原生項目的安全防護策略之外，也需要聯動第三方安全公司的力量，建立一套獨立自主的安全風控體系，以應對各類突發的安全風險。

Tags：UNNBSCANCCAKEBUNNYINU價格CZ Boss BSCtarzfinancialPancakeLock

PEPE